在 UNIX 上有效
以下是配置文件的格式,后跟详细说明。
section‑name‑1
routing‑method destination
[{include|exclude} match‑field(match‑pattern) ...]
...
.
section‑name‑2
routing‑method destination
[{include|exclude} match‑field(match‑pattern) ...]
...
.
...
配置文件是要路由的审核记录以及不路由到各种目标的审核记录列表。 要指定审核记录,请说明一个或多个特定字段的内容。 您可以使用标准 UNIX 模式匹配(通配符 * 和 ?)。
例如:要指定涉及用户名以字母 dbms 开头的用户的记录,请输入以下内容:
User(dbms*)
该示例匹配具有如 dbms1、dbms_mgr 等名称的用户。
要指定相同用户,但只指定处理其登录尝试的记录,请输入:
User(dbms*) Class(LOGIN)
注意:在多个字段情况下,行指定记录时,它仅指定匹配所有字段的记录。
在指定记录的相同行的开始,您指定是否要包括或排除这些记录。 例如:要在传递中包括这些记录,请输入以下内容:
include User(dbms*) Class(LOGIN).
这种类型的行的总体格式如下:
[{include|exclude} match‑field(match‑pattern) ... .]
此处,“...”表示第一对匹配字段(匹配模式)后面可以跟有其他匹配对。‑‑
可以为匹配字段(匹配模式)使用以下任何值:‑‑
用于所需的访问类型;access‑type 可以是以下任何一项:
ACL、Chdir、Chgrp、Chmod、Chown、Connect、Control、Create、Erase、Exec、Kill、Modify、Owngrp、Password、Read、Rename、Replace、Update、Utimes 和 Write。
用于登录记录。
用于注销记录。
用于密码管理。
用于 TCP/IP 记录。
用于数据库管理。 CA ControlMinder‑class 是任何访问者或资源类(例如:USER、GROUP、FILE、HOSTNP...)或者要匹配的类名的模式。 因此对于所有数据库管理,您可以指定 UPDATE *。
用于对受保护资源的访问。 例如:Class(FILE) 是指报告文件访问尝试的记录。
注意,您可以使用星号将 Class(CA ControlMinder‑class) 和 Class(UPDATE CA ControlMinder‑class) 组合成 Class(*CA ControlMinder‑class)。 例如:指定 Class(*FILE) 与同时指定 Class(FILE) 和 Class(UPDATE FILE) 相似。 它既指访问文件的尝试,又指更新 FILE 类中记录的尝试。
用于指示所发生情况的 CA ControlMinder 返回代码;return‑code 可以接受以下值。 (也可参阅此部分中的示例 1。)
A-因为重复输入无效的密码,所以登录尝试失败。
D-CA ControlMinder 拒绝对资源的访问、不允许登录或不允许对数据库进行更新,原因是访问者权限不足。
E-Serevu 启用了一个禁用的用户帐户。
F-尝试更新数据库失败。
I-Serevu 禁用了一个用户帐户。
M-执行的命令已启动或已关闭后台进程。
O-用户注销。
P-CA ControlMinder 允许访问资源或允许登录。
S-数据库已成功更新。
T-因为正在跟踪该用户的所有操作,所以已写入审核记录。
U-受托程序(setuid 或 setgid)已更改;因此它不再受托。
W-对资源的访问违反了该资源的访问规则。 然而,CA ControlMinder 允许访问,因为警告模式在资源中设置。
用于参与 TCP/IP 连接的主机。
用于用户尝试访问的资源。
用于触发审核记录的原因。
用于从远程主机(如 Telnet、ftp 或端口号)请求的服务名称。
用于将记录提供到统一审核的主机名。
用于授予或拒绝访问的阶段。 (参阅《参考指南》中的阶段代码列表。)
用于尝试访问或管理的终端。
用于尝试访问或管理的用户的 uid。
用于尝试访问或管理的用户;用户名是名称或模式。
注意:虽然一些变量更可能被指定为模式,但您可以将模式用于任何变量,即管有些变量像阶段编号。
要细化您的规范,可以同时按不同的条件进行筛选。 只是简单地在另外一行之后添加 include/exclude 行。 例如:
include User(dbms*) Class(*LOGIN*). exclude Terminal(console_*).
本示例指定由以下用户进行的所有登录尝试,名称以 dbms 开头的用户以及在终端没有以 console_ 开头的名称的用户。
使用 include 和 exclude 行顺序上面的行,指定正在包括的审核记录的目标。 例如:
mail weekwatch include User(dbms*) Class(*LOGIN*). exclude Terminal(console_*).
本示例指定电子邮件地址 weekwatch 接收由以下用户进行的所有登录尝试的报告,名称以 dbms 开头的用户以及在终端没有以 console_ 开头的名称的用户。
这种类型的行以日志路由配置文件的格式显示,如下所示:
routing‑method destination
您可以使用以下任何方法:
要以电子邮件发送审核记录;address 是目标地址。 如果不是 user@host 格式,将针对本地用户列表和 NIS 邮件别名映射进行检查。
注意:如果 address 是对该用户帐户的用户名和代理的请求进行审核,审核记录则会无限累积。
如果在 selogrd 转发审核记录时,用户在当前主机登录,则在指定用户的屏幕上显示审核记录。 如果该用户未登录,将取消显示,而不是延迟显示。
将审核记录发送到指定主机上 secmon 实用程序的安全管理员 GUI。 如果该主机不可用,则终止显示,而不是延迟显示。
要在指定的 ASCII 文件中写入审核记录;textfilename 必须是绝对路径名,且 selogrd 必须对该文件有访问权限。
将审核记录发送到指定主机上的审核日志收集器。 如果该主机不可用,则 selogrd 会在以后重试。
通过电子邮件将审核记录发送到审核记录自身指定的地址。
在审核记录自身指定的用户屏幕上显示审核记录。 如果该用户未登录,将取消显示,而不是延迟显示。
审核记录发送到具有指定日志优先级的 syslog:
将审核记录发送到指定主机上的 Unicenter TNG 事件管理器。 您也必须设置 selogrd 以便加载在 ACInstallDir/lib 目录中发现的 uni.so 共享库。 请注意,如果发现 Unicenter TNG 安装在指定的主机上,且您选择执行,那么安装会为您执行该任务。
以正确的顺序(正确地界定)安排您的 include 和 exclude 行十分重要。
从非控制台进行 dbms 登录‑
mail weekwatch
include User(dbms*) Class(*LOGIN*).
exclude Terminal(console_*). .
完整顺序(包括标题行和终止行)称为文件的“部分”。
然而关于是否将要发送记录,部分中的各行一起工作生成一个决定,配置文件的不同部分完全独立工作。 是否由一个部分发送审核记录,对于相同审核记录是否由其他部分发送没有任何影响。
您可以将审核记录的相同选择项发送给多个目标,且相同的目标可收到审核记录的多个选择项。
在配置文件中,所有部分中所有包括行和排除行的总数不能超过 64 行。
要向配置文件中添加注释行,请以分号开始该行。
示例 1
以下是配置文件示例,其说明跟在后面。
; Product : CA ControlMinder ; Module : selogrd ; Purpose : route table for audit log routing daemon ; ;‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑ Rule#1 mail jones@admhost include Class(*LOGIN*) Code(D). . Rule#2 mail smith include Class(*SURROGATE*) Object(USER.root*). . Rule#3 host venus exclude Class(UPDATE SU*). . Rule#4 host venus include Class(*PROGRAM*) Object(/usr/bin/ps). .
前五行是注释行。
接下来的四行构成名为 Rule#1 的第一个部分。 每当拒绝登录请求(代码 D 报告拒绝),他们都会通知 selogrd 将日志记录发送到地址 jones@admhost:
Rule#1 mail jones@admhost include Class(*LOGIN*) Code(D). .
下一部分名为 Rule#2。 每当某人尝试使用 su 命令输入 root 账户(SURROGATE 类中对象是 su 命令的目标),都会通知 selogrd 将日志记录发送到地址 smith:
Rule#2 mail smith include Class(*SURROGATE*) Object(USER.root*). .
下一部分名为 Rule#3。 每当某人尝试数据库管理时,都会通知 selogrd 将日志记录发送到 host venus 上的收集器,除非类名始于字母 SU(匹配类是 SURROGATE 和 SUDO):
Rule#3 host venus exclude Class(UPDATE SU*).
最后的部分名为 Rule#4。 每当某人尝试使用 ps 命令时,都会通知 selogrd 将日志记录发送给 host venus 上的收集器:
(Code 1 8pt) Rule#4 host venus include Class(*PROGRAM*) Object(/usr/bin/ps). .
示例 2
以下配置文件将所有审核记录发送到名为 loghost 的工作站上的收集器:
; Product : CA ControlMinder ; Module : selogrd ; Purpose : route table for audit log routing daemon ; ;‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑ Rule#1 host loghost .
您可以将配置文件的每个类型的记录与一个或多个 CA ControlMinder 返回代码关联。 (有关返回代码的完整列表,请参阅本部分“指定审核记录”中有关 code(return‑code) 的描述。)下表介绍记录类型及其关联的返回代码。
|
记录类型 |
类或事件 |
关联的返回代码 |
|---|---|---|
|
登录 |
LOGIN LOGINDISABLE LOGINENABLE |
D, P, W I E |
|
注销 |
LOGOUT |
O |
|
TCP/IP |
HOST |
D, P |
|
资源类 |
类名 |
D, P, W |
|
Watchdog |
PROGRAM SECFILE |
U U |
|
密码管理 |
PWCHANGE |
D |
|
关闭 |
SHUTDOWN |
D, S |
|
启动 |
START |
S |
|
CA ControlMinder 数据库管理 |
UPDATE |
D, F, S |
您可以使用以下配置文件管理 SSH、网络设备、Sybase、ACF2 以及 RACF JCS 日志文件连接器的日志文件名。
<JCS-directory>\conf\log4j.properties
此文件用于设置每个先前连接器的日志文件名。 日志文件名是:
根据以下级别可以为每个连接器配置日志详细信息级别:
SSH 连接器仅收集设置在一定比例和较低级别的日志。 例如,SSH 连接器在如下设置时仅收集调试、信息、警告、错误和致命级别的日志:
log4j.logger.com.ca.jcs.sshdyn=INFO, ssh log4j.logger.com.ca.sessame.conn.unix=INFO, ssh
注意:将每个连接器日志文件保存为备份,每天启动新的日志。
|
版权所有 © 2013 CA。
保留所有权利。
|
|