在開始閱讀這章之前,我們需要解釋一下與稽核有關的關鍵術語:
事件(event): 可稽核的事件 –– 乃是指能夠稽核子系統記錄的任何事件。 舉例來說,與安全有關的事件包括:新增檔案、 建立網路連線、使用者登入等等。 任何事件最終是否可查到為哪一個有驗証的帳號所為,就歸為 “attributable”,否則則將該事件歸為 “non-attributable”。 non-attributable 事件可以是發生在登入過程成功之前的任何事件, 例如嘗試登入,卻因密碼不正確等。
類(class): 事件類是指相關事件的一個命名集合, 通常在篩選表達式中使用。 常用的事件類包括 “新增檔案(file creation)”(fc)、“執行(exec)”(ex)、 “登入和登出(login_logout)”(lo)。
記錄(record): 記錄是指描述一個資安事件的 log 項。 記錄包括記錄事件類型、執行操作的主體(使用者)資訊、 日期和事件資訊,以及與之相關的對象或參數資訊, 最後是操作成功或失敗。
賬目(trail): 稽核賬目或 log 檔案, 包含了一系列描述資安事件的稽核記錄。 在典型情況下, 稽核賬目基本上是以事件發生的時間順序記錄的。 只有獲得授權的程序, 才能夠向稽核賬目中提交記錄。
篩選表達式(selection expression): 篩選表達式是包含一系列前綴和稽核事件類名字, 用以符合事件的字串。
預選(preselection): 系統透過這一過程來識別事件是否是管理員所感興趣的, 從而避免為他們不感興趣的事件產生記錄。 預選設定使用一系列選擇表達式, 用以識別事件類別、要稽核的使用者,以及適用於驗証過使用者身份, 以及未驗証使用者身份的程序的全局設定。
濃縮(reduction): 從現有的稽核記帳中篩選出用於保留、列印或分析的過程。 除此之外, 它也表示從稽核記帳中刪去不需要的稽核記錄的過程。 透過使用濃縮操作,管理員可以實作預留稽核資料的策略。 例如, 詳細的稽核記帳資訊,可能會保留一個月之久,但在這之後, 則對這些記帳資訊執行濃縮操作,只保留登入資訊用於存檔。
本文及其他文件,可由此下載:ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/。
若有 FreeBSD 方面疑問,請先閱讀 FreeBSD 相關文件,如不能解決的話,再洽詢
<questions@FreeBSD.org>。
關於本文件的問題,請洽詢 <doc@FreeBSD.org>。