传出网络连接事件表明了至受保护主机的传出流量。 传出网络事件以两种形式进行审核(取决于本地数据库中的类激活)。 两种审核事件类型包含完全相同的信息,但位于不同的视图中。 例如:一个审核事件包含 HOST 作为类名,而其他事件显示 TCP 作为类名。
此事件中的审核记录格式如下:
日期 时间 状态 类 服务 用户名 详细信息 原因 主机 程序 终端 审核标志
指明事件发生的日期。
格式:DD MMM YYYY
注意:CA ControlMinder 端点管理 根据您计算机的设置对日期的显示进行格式化。
指明事件发生的时间。
格式:HH:MM:SS
注意:CA ControlMinder 端点管理 根据您计算机的设置对时间的显示进行格式化。
表明事件的返回代码。
值:可以为以下值之一:
指明类的名称。
标识连接使用的服务名。
指明执行触发此事件的操作的访问者名称。
表明 CA ControlMinder 决定在哪个阶段为此事件执行何种操作。
注意:无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示一个数字。 此数字称为授权阶段代码。 在详细的输出或 CA ControlMinder 端点管理 中,审核记录将显示与授权阶段代码相关的消息。 要获得阶段代码的完整列表,请运行 seaudit -t。
表明 CA ControlMinder 写入审核记录的原因。
注意:详细的 seaudit 输出或 CA ControlMinder 端点管理 中不显示此字段。 无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示一个数字。 此数字称为原因代码。 要获得原因代码的完整列表,请运行 seaudit -t。
指明目标主机的名称。
指明触发事件的程序的名称。
指明访问者用于连接到主机的终端的名称。
指明访问者的会话 ID。
注意:默认情况下,在非详细 seaudit 输出中不显示此字段。 要在非详细 seaudit 输出中显示此字段,请在 seaudit 命令中指定 -sessionid 选项。 只能将“用户登录会话 ID”字段添加到由于 TCP 或 CONNECT 类定义而生成的事件。
表明访问者是内部用户(CA ControlMinder 数据库用户)还是企业用户。
注意:如果访问者是企业用户,则无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示字符串“(OS user)”。 否则,此字段保留为空。
示例:传出网络连接事件消息
以下审核记录取自详细的 seaudit 输出。
21 Jan 2009 15:37:43 D TCP telnet root 408 2 computer.org /usr/bin/telnet computer.com 事件类型:传出网络连接 状态:已拒绝 主机名:computer.org 服务:telnet 程序:/usr/bin/telnet 用户名:Administrator 终端:computer.com 用户名:root 日期:2009 年 1 月 21 日 时间:15:37:43 详细信息:TCP 服务的默认访问 用户登录会话 ID:4977248c:0000012a5248 审核标志:AC 数据库用户
此审核记录表明,2009 年 1 月 21 日,管理员通过 telnet 服务打开了一个从终端 computer.org 至名为 computer.com 的计算机的传出连接。 由于 TCP 记录的 defaccess 属性,CA ControlMinder 拒绝用户执行此操作。 (授权阶段代码 408-TCP 服务的默认值)。CA ControlMinder 记录了此事件,原因是访问者的 AUDIT_MODE 属性与记录的结果相匹配。 (原因代码 2-用户审核模式需要记录)。
|
版权所有 © 2013 CA。
保留所有权利。
|
|