audit.cfg 파일 - 네트워크 연결 이벤트 필터 구문
네트워크 연결 이벤트에 속하는 감사 레코드는 다음과 같은 필터 형식을 갖습니다.
cminder140kr
네트워크 연결 이벤트에 속하는 감사 레코드는 다음과 같은 필터 형식을 갖습니다.
{HOST|TCP};ObjectName;HostName;ProgramPath;Access;AuthorizationResult
- HOST규칙에서 HOST 클래스의 개체에 의해 생성된 레코드, 즉 들어오는 TCP 연결을 필터링하도록 지정합니다.
- TCP규칙에서 TCP 클래스의 개체에 의해 생성된 레코드, 즉 서비스 이벤트와의 연결을 필터링하도록 지정합니다.
- ObjectName액세스한 개체의 이름을 정의합니다.ObjectName은 서비스 이름이나 포트 이름일 수 있습니다.
- HostName호스트의 이름을 정의합니다.HostName은 HOST 클래스의 객체여야 합니다.
- ProgramPath로그인 프로그램 유형을 정의합니다.(Windows) 나가는 연결에 대해 이 매개 변수는 연결 설정을 시도하는 프로세스의 프로그램 경로를 정의합니다.참고:이 매개 변수는 들어오는 연결 이벤트에는 의미가 없습니다. 들어오는 연결 이벤트에 의해 생성된 감사 레코드를 필터링하려면 이 매개 변수에 대해 *를 사용합니다.
- 액세스시도된 연결 유형을 정의합니다.값:
- (HOST) *
- (TCP) R(들어오는 연결), W(나가는 연결), *
- AuthorizationResult권한 부여 결과를 정의합니다.값:P(허용됨), D(거부됨), *
예: 네트워크 연결 이벤트 필터링
- 이 예에서는 들어오는 성공한 텔넷 연결에 의해 생성된 ca.com 호스트의 모든 감사 레코드를 필터링합니다.HOST;telnet;ca.com;*;*;P
- 이 예에서는 들어오고 나가는 거부된 로그인 TCP 연결에 의해 생성된 ca.com 호스트의 모든 감사 레코드를 필터링합니다.TCP;login;ca.com;*;*;D
- 이 예에서는 나가는 텔넷 연결에 의해 생성된 ca.com 호스트의 모든 감사 레코드를 필터링합니다.TCP;telnet;ca.com;*;W;*