audit.cfg 文件网络连接事件筛选语法

属于网络连接事件的审核记录具有以下筛选格式:
cminder12901cn
属于网络连接事件的审核记录具有以下筛选格式:
{HOST|TCP};ObjectName;HostName;ProgramPath;Access;AuthorizationResult
  • HOST
    指定该规则筛选由 HOST 类中的对象(即传入 TCP 连接)生成的记录。
  • TCP
    指定该规则筛选 TCP 类中的对象(即连接服务事件)生成的记录。
  • ObjectName
    定义被访问的对象的名称。
    ObjectName
    可以是服务名称或端口号。
  • HostName
    定义主机的名称。
    HostName
    必须是 HOST 类中的对象。
  • ProgramPath
    定义登录程序类型。
    (Windows) 对于传出连接,此参数定义尝试建立连接的进程的程序路径。
    注意:
    此参数对于传入连接事件没有意义。 将 * 用于此参数可以筛选由传入连接事件生成的审核记录。
  • Access
    定义尝试连接的类型。
    值:
     
    • (HOST) *
    • (TCP) R(传入连接)、W (传出连接),*
  • AuthorizationResult
    定义授权结果。
    值:
    P(允许),D(拒绝),*
示例:筛选网络连接事件
  • 此示例筛选来自主机 ca.com 且由成功传入 telnet 连接生成的所有审核记录:
    HOST;telnet;ca.com;*;*;P
  • 此示例筛选来自主机 ca.com 且由被拒绝的传入和传出登录 TCP 连接生成的所有审核记录:
    TCP;login;ca.com;*;*;D
  • 此示例筛选来自主机 ca.com 且由传出的 telnet 连接生成的所有审核记录:
    TCP;telnet;ca.com;*;W;*