入站网络连接事件

入站网络连接事件表示到受保护主机的传入通信。 根据本地数据库中的类激活,入站网络事件的审核分为两种形式。 这两种审核事件类型包含相同的信息,但位于不同的视图中。 例如:一个审核事件包含 HOST 作为类名,而其他事件显示 TCP 作为类名。
cminder12901cn
入站网络连接事件表示到受保护主机的传入通信。 根据本地数据库中的类激活,入站网络事件的审核分为两种形式。 这两种审核事件类型包含相同的信息,但位于不同的视图中。 例如:一个审核事件包含 HOST 作为类名,而其他事件显示 TCP 作为类名。
此事件中的审核记录格式如下:
Date Time Status Event Service Details Reason Host Program
  • 日期
    标识事件发生的日期。
    格式:
    YYYY MMM DD
    注意:
    Privileged Identity Manager
    端点控制台根据您计算机的设置显示日期格式。
  • 时间
    标识事件发生的时间。
    格式:
    HH:MM:SS
    注意:
    Privileged Identity Manager
    端点控制台会根据您的计算机的设置显示时间格式。
  • 状态
    指示事件的返回代码。
    值:
    可为以下各项之一:
    • D(拒绝)由于授权不足而拒绝事件。
    • P(允许)允许事件。
    • W(警告)允许事件(原因是虽然访问请求违反了访问规则,但是设置了警告模式)。
  • 事件类型
    标识此记录所属的事件类型。
    注意:
    Privileged Identity Manager
    端点控制台只是将此字段称作
    事件
  • 服务
    标识连接所使用服务的名称。
  • 详细信息
    指示
    Privileged Identity Manager
    决定在哪个阶段为此事件采取何种操作。
    注意:
    您在非详细 seaudit 输出中看到的审核记录在此字段中显示为数字。 此数字称为授权阶段代码。 在详细输出或
    Privileged Identity Manager
    端点控制台中,审核记录将显示与授权阶段代码关联的消息。 要获得阶段代码的完整列表,请运行 seaudit -t。
  • 原因
    标识
    Privileged Identity Manager
    写入审核记录的原因。
    注意:
    此字段不显示在详细 seaudit 输出或
    Privileged Identity Manager
    端点控制台中。 您在非详细 seaudit 输出中看到的审核记录将在此字段中显示为数字。 此数字称为原因代码。 有关原因代码的完整列表,请运行 seaudit -t。
  • 主机名
    标识网络通信源自的主机的名称。
  • 程序
    (仅 UNIX)标识访问者尝试运行的程序的名称。
示例:入站网络连接事件消息
以下审核记录取自详细的 seaudit 输出。
17 Nov 2008 12:22:04 D HOST telnet 173 3 computer.org.com /usr/sbin/inetd Event type: Inbound network connection Status: Denied Host name: computer.org.com Service: telnet Program: /usr/sbin/inetd/ Date: 17 Nov 2008 Time: 12:22 Details: HOST entry day & time restrictions Audit flags: AC database user
该审核记录表明在 2008 年 11 月 17 日,一名访问者尝试使用 telnet 服务运行 inetd 程序来访问主机 computer.org.com,但是由于受保护主机上强制执行的日期和时间限制(授权阶段代码 173 HOST 条目日期和时间限制),该访问被拒绝。
Privileged Identity Manager
已记录此事件,原因是资源的审核模式指定应记录此事件(原因代码 3 资源审核模式要求记录)。