audit.cfg 文件资源访问事件筛选语法
属于资源访问事件的审核记录具有以下筛选格式:
cminder12901cn
属于资源访问事件的审核记录具有以下筛选格式:
ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult
- ClassName定义被访问对象所属的类的名称。注意:以大写字母输入类的名称。
- ObjectName定义被访问的对象的名称。
- UserName定义访问者的名称。
- ProgramPath定义用于访问该对象的程序的名称。
- Access定义对对象的请求访问权限。注意:以下值是在 audit.cfg 文件中用于筛选出审核记录的参数的值。 在某些情况下,此参数在 audit.cfg 文件中的值与 CA ControlMinder 在审核记录写入的该事件的值不同。 任何此类差异的后面都注有每个值的说明。 按该参数在以下列表中出现的情况键入它。值:
- *代表任意访问类型的通配符。
- Chdir更改目录-访问者请求将对象移至其他目录。
- Chmod更改模式-访问者请求更改对象的模式。
- Chgrp(UNIX) 更改组-访问者请求更改对象所属的组。
- Chown更改所有者-访问者请求更改对象的所有者。Connect将用户加入组-访问者请求将新用户添加到组中。注意:connect 值与 join 值相同。Control(UNIX) 控制-访问者请求对对象的 Chown、Chmod、Utime、Sec、Chdir 和 Update 权限。
- Cre创建-访问者请求创建一个对象。Crrdwr创建、读取和写入-访问者请求对对象的创建、读取和写入权限。注意:CA ControlMinder 会在对应的审核记录中将此值写为 CrRdWrite。Crread创建和读取-访问者请求对对象的创建和读取权限。注意:CA ControlMinder 在对应的审核记录中将此值写为 CrRead。Crwrite创建和写入-访问者请求对对象的创建和写入权限。注意:CA ControlMinder 在对应的审核记录中将此值写为 CrWrite。
- Del删除-访问者请求删除一个对象。注意:CA ControlMinder 在对应的审核记录中将此值写为 Erase。
- Join将用户加入组-访问者请求将新用户添加到组中。注意:join 值与 connect 值相同。
- Kill终止-访问者请求终止进程。Modify修改-访问者请求对对象的修改访问权限。OwnGrp更改所有者和更改组-访问者请求对对象的 Chown 和 Chgrp 权限。PW密码-访问者请求更改密码。注意:CA ControlMinder 在对应的审核记录中将此值写为 Password。
- R读取-访问者请求对对象的读取权限。注意:(UNIX) 如果 STAT_intercept 设为 1,此参数将包括stat拦截。
- Rename更改文件名-访问者请求更改对象的文件名。
- Sec更改 ACL-访问者请求编辑对象的 ACL。注意:CA ControlMinder 在对应的审核记录中将该值写为 ACL。Update读取、写入和执行-访问者请求对对象的读取、写入和执行权限。注意:当访问者请求对对象的读取和写入权限时,Update 值也可以筛选事件。
- Utime(UNIX) 更改时间-访问者请求更改对象的修改时间。注意:CA ControlMinder 在对应的审核记录中将此值写为 Utimes。
- W写入-访问者请求对对象的写入权限。
- X执行-访问者请求执行一个对象。
注意:某些值不适用于所有类。 例如:kill 对 FILE 类无效,因为不可对 FILE 类中的对象执行终止操作。 如果在写入规则时输入类的无效值,CA ControlMinder 在读取文件时将忽略该值。 - AuthorizationResult定义授权结果。值:
P - 允许
D - 拒绝
O - 注销
I - 由 serevu 停用(禁用用户)
E - 由 serevu 启用用户登录
A - 检测到密码尝试
* - 表示任何值的通配符
示例:审核筛选策略
- 此示例显示什么是审核筛选策略:env config er config audit.cfg line+("FIEL;*;*;*;R;P")
- 此策略将以下行写入 audit.cfg 文件。 该行将筛选用来记录任何访问者在经允许情况下对任何文件资源进行的读取尝试的审核记录。FILE;*;*;*;R;P