audit.cfg 文件网络连接事件筛选语法
属于网络连接事件的审核记录具有以下筛选格式:
cminder12901cn
属于网络连接事件的审核记录具有以下筛选格式:
{HOST|TCP};ObjectName;HostName;ProgramPath;Access;AuthorizationResult
- HOST指定该规则筛选由 HOST 类中的对象(即传入 TCP 连接)生成的记录。
- TCP指定该规则筛选 TCP 类中的对象(即连接服务事件)生成的记录。
- ObjectName定义被访问的对象的名称。ObjectName可以是服务名称或端口号。
- HostName定义主机的名称。HostName必须是 HOST 类中的对象。
- ProgramPath定义登录程序类型。(Windows) 对于传出连接,此参数定义尝试建立连接的进程的程序路径。注意:此参数对于传入连接事件没有意义。 将 * 用于此参数可以筛选由传入连接事件生成的审核记录。
- Access定义尝试连接的类型。值:
- (HOST) *
- (TCP) R(传入连接)、W (传出连接),*
- AuthorizationResult定义授权结果。值:P(允许),D(拒绝),*
示例:筛选网络连接事件
- 此示例筛选来自主机 ca.com 且由成功传入 telnet 连接生成的所有审核记录:HOST;telnet;ca.com;*;*;P
- 此示例筛选来自主机 ca.com 且由被拒绝的传入和传出登录 TCP 连接生成的所有审核记录:TCP;login;ca.com;*;*;D
- 此示例筛选来自主机 ca.com 且由传出的 telnet 连接生成的所有审核记录:TCP;telnet;ca.com;*;W;*