audit.cfg 文件资源访问事件筛选语法

属于资源访问事件的审核记录具有以下筛选格式:
cminder12901cn
属于资源访问事件的审核记录具有以下筛选格式:
ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult
  • ClassName
    定义被访问对象所属的类的名称。
    注意:
    以大写字母输入类的名称。
  • ObjectName
    定义被访问的对象的名称。
  • UserName
    定义访问者的名称。
  • ProgramPath
    定义用于访问该对象的程序的名称。
  • Access
    定义对对象的请求访问权限。
    注意:
    以下值是在 audit.cfg 文件中用于筛选出审核记录的参数的值。 在某些情况下,此参数在 audit.cfg 文件中的值与 CA ControlMinder 在审核记录写入的该事件的值不同。 任何此类差异的后面都注有每个值的说明。 按该参数在以下列表中出现的情况键入它。
    值:
    • *
      代表任意访问类型的通配符。
    • Chdir
      更改目录-访问者请求将对象移至其他目录。
    • Chmod
      更改模式-访问者请求更改对象的模式。
    • Chgrp
      (UNIX) 更改组-访问者请求更改对象所属的组。
    • Chown
      更改所有者-访问者请求更改对象的所有者。
      Connect
      将用户加入组-访问者请求将新用户添加到组中。
      注意:
      connect 值与 join 值相同。
      Control
      (UNIX) 控制-访问者请求对对象的 Chown、Chmod、Utime、Sec、Chdir 和 Update 权限。
    • Cre
      创建-访问者请求创建一个对象。
      Crrdwr
      创建、读取和写入-访问者请求对对象的创建、读取和写入权限。
      注意:
      CA ControlMinder 会在对应的审核记录中将此值写为 CrRdWrite。
      Crread
      创建和读取-访问者请求对对象的创建和读取权限。
      注意:
      CA ControlMinder 在对应的审核记录中将此值写为 CrRead。
      Crwrite
      创建和写入-访问者请求对对象的创建和写入权限。
      注意:
      CA ControlMinder 在对应的审核记录中将此值写为 CrWrite。
    • Del
      删除-访问者请求删除一个对象。
      注意:
      CA ControlMinder 在对应的审核记录中将此值写为 Erase。
    • Join
      将用户加入组-访问者请求将新用户添加到组中。
      注意:
      join 值与 connect 值相同。
    • Kill
      终止-访问者请求终止进程。
      Modify
      修改-访问者请求对对象的修改访问权限。
      OwnGrp
      更改所有者和更改组-访问者请求对对象的 Chown 和 Chgrp 权限。
      PW
      密码-访问者请求更改密码。
      注意:
      CA ControlMinder 在对应的审核记录中将此值写为 Password。
    • R
      读取-访问者请求对对象的读取权限。
      注意:
      (UNIX) 如果 STAT_intercept 设为 1,此参数将包括
      stat
      拦截。
    • Rename
      更改文件名-访问者请求更改对象的文件名。
    • Sec
      更改 ACL-访问者请求编辑对象的 ACL。
      注意:
      CA ControlMinder 在对应的审核记录中将该值写为 ACL。
      Update
      读取、写入和执行-访问者请求对对象的读取、写入和执行权限。
      注意:
      当访问者请求对对象的读取和写入权限时,Update 值也可以筛选事件。
    • Utime
      (UNIX) 更改时间-访问者请求更改对象的修改时间。
      注意:
      CA ControlMinder 在对应的审核记录中将此值写为 Utimes。
    • W
      写入-访问者请求对对象的写入权限。
    • X
      执行-访问者请求执行一个对象。
    注意:
    某些值不适用于所有类。 例如:kill 对 FILE 类无效,因为不可对 FILE 类中的对象执行终止操作。 如果在写入规则时输入类的无效值,CA ControlMinder 在读取文件时将忽略该值。
  • AuthorizationResult
    定义授权结果。
    值:
P - 允许
D - 拒绝
O - 注销
I - 由 serevu 停用(禁用用户) 
E - 由 serevu 启用用户登录
A - 检测到密码尝试
* - 表示任何值的通配符
示例:审核筛选策略
  • 此示例显示什么是审核筛选策略:
    env config er config audit.cfg line+("FIEL;*;*;*;R;P")
  • 此策略将以下行写入 audit.cfg 文件。 该行将筛选用来记录任何访问者在经允许情况下对任何文件资源进行的读取尝试的审核记录。
    FILE;*;*;*;R;P