audit.cfg 文件登录和注销事件筛选语法
属于登录或注销事件的审核记录具有以下筛选格式:
cminder12901cn
属于登录或注销事件的审核记录具有以下筛选格式:
LOGIN;UserName;UserId;TerminalName;LoginProgram;AuthorizationResultOrLoginType
- LOGIN指定该规则筛选由登录和注销事件生成的审核记录。
- UserName定义访问者的名称。
- UserId(UNIX) 定义访问者的本地用户 ID。
- TerminalName定义发生事件的终端。
- LoginProgram定义尝试登录或注销的程序的名称。
- AuthorizationResultorLoginType定义授权结果。值:
- *表示任何授权结果类型的通配符。
- D登录尝试被拒绝。
- P允许登录尝试。
- O(UNIX) 访问者注销。
- I(UNIX) serevu 后台进程已吊销访问者的帐户。
- E(UNIX) serevu 后台进程已启用访问者的帐户。
- A(UNIX) serevu 后台进程或可插入身份验证模块对用户使用不正确的密码登录的尝试进行了审核。
注意:Windows 不记录注销事件。
示例:筛选登录或注销事件
- 此示例筛选在 root 用户登录获得许可的帐户时生成的所有审核记录:LOGIN;root;*;*;*;P
- 此示例筛选当 root 用户由于系统的 CRON 程序而成功登录系统时生成的所有审核记录:LOGIN;root;*;*;SBIN_CRON;P
- 此示例筛选在 _CRONJOB_ process 日志注销 root 用户时生成的所有审核记录:LOGIN;root;*;_CRONJOB_;*;O