出站网络连接事件
出站网络连接事件表示到受保护主机的出站通信。 出站网络事件的审核有两种形式(取决于本地数据库中的类激活情况)。 这两种审核事件类型包含相同的信息,但位于不同的视图中。 例如:一个审核事件包含 HOST 作为类名,而其他事件显示 TCP 作为类名。
cminder12901cn
出站网络连接事件表示到受保护主机的出站通信。 出站网络事件的审核有两种形式(取决于本地数据库中的类激活情况)。 这两种审核事件类型包含相同的信息,但位于不同的视图中。 例如:一个审核事件包含 HOST 作为类名,而其他事件显示 TCP 作为类名。
此事件中的审核记录格式如下:
DateTimeStatusClassServiceUserNameDetailsReasonHostProgramTerminal AuditFlags
- Date标识事件发生的日期。格式:YYYY MMM DD注意:Privileged Identity Manager端点控制台根据您计算机的设置显示日期格式。
- Time标识事件发生的时间。格式:HH:MM:SS注意:Privileged Identity Manager端点控制台根据您计算机的设置显示时间格式。
- 状态指示事件的返回代码。值:可为以下各项之一:
- D(拒绝)由于授权不足而拒绝事件。
- P(允许)允许事件。
- W(警告)允许事件(原因是虽然访问请求违反了访问规则,但是设置了警告模式)。
- 类指明类的名称。
- 服务标识连接所使用服务的名称。
- 用户名标识执行触发此事件的操作的访问者名称。
- 详细信息指示Privileged Identity Manager决定在哪个阶段为此事件采取何种操作。注意:您在非详细 seaudit 输出中看到的审核记录在此字段中显示为数字。 此数字称为授权阶段代码。 在详细输出或Privileged Identity Manager端点控制台中,审核记录将显示与授权阶段代码关联的消息。 要获得阶段代码的完整列表,请运行 seaudit -t。
- 原因标识Privileged Identity Manager写入审核记录的原因。注意:此字段不显示在详细 seaudit 输出或Privileged Identity Manager端点控制台中。 您在非详细 seaudit 输出中看到的审核记录将在此字段中显示为数字。 此数字称为原因代码。 有关原因代码的完整列表,请运行 seaudit -t。
- 主机名标识目标主机的名称。
- Program标识触发事件的程序的名称。
- 终端标识访问者用于连接到主机的终端的名称。
- 用户登录会话 ID标识访问者的会话 ID。注意:默认情况下,在非详细 seaudit 输出中不显示此字段。 要在非详细 seaudit 输出中显示此字段,请在 seaudit 命令中指定 -sessionid 选项。 用户登录会话 ID 字段只会添加到由于 TCP 或 CONNECT 类定义而生成的事件。
- 审核标志指示访问者是内部用户(Privileged Identity Manager数据库用户)还是企业用户。注意:如果访问者是企业用户,您在非详细 seaudit 输出中看到的审核记录在此字段中显示为字符串 "(OS user)"。 否则,此字段保留为空。
示例:出站网络连接事件消息
以下审核记录取自详细的 seaudit 输出。
21 Jan 2009 15:37:43 D TCP telnet root 408 2 computer.org /usr/bin/telnet computer.com Event type: Outbound network connection Status: Denied Host name: computer.org Service:telnet Program: /usr/bin/telnet User name: Administrator Terminal: computer.com User name: root Date: 21 Jan 2009 Time: 15:37:43 Details: Default access of TCP service User Logon Session ID: 4977248c:0000012a5248 Audit flags: AC database user
此审核记录表示在 2009 年 1 月 21 日,管理员通过 telnet 服务打开从终端 computer.org 至名为 computer.com 的计算机的传出连接。
Privileged Identity Manager
由于 TCP 记录的 defaccess 属性而拒绝了此操作。 (授权阶段代码 408 - TCP 服务的默认值)。 Privileged Identity Manager
记录了此事件,原因是访问者的 AUDIT_MODE 属性与记录的结果相匹配。 (原因代码 2 - 用户审核模式需要记录)。