audit.cfg File - 리소스 액세스 이벤트 필터 구문
리소스 액세스 이벤트에 속하는 감사 레코드는 다음과 같은 필터 형식을 갖습니다.
cminder12901kr
리소스 액세스 이벤트에 속하는 감사 레코드는 다음과 같은 필터 형식을 갖습니다.
ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult
- ClassName액세스한 개체가 속하는 클래스의 이름을 정의합니다.참고:클래스 이름은 대문자로 입력해야 합니다.
- ObjectName액세스한 개체의 이름을 정의합니다.
- UserName접근자의 이름을 정의합니다.
- ProgramPath개체를 액세스하는 데 사용된 프로그램의 이름을 정의합니다.
- 액세스개체에 대해 요청된 액세스를 정의합니다.참고:다음 값은 감사 레코드를 필터링하기 위해 audit.cfg 파일에 사용하는 이 매개 변수의 값입니다. 경우에 따라 audit.cfg 파일에 있는 이 매개 변수의 값은 CA ControlMinder가 해당 이벤트에 대해 감사 레코드에 쓰는 값과 다릅니다. 이러한 차이는 각 값의 설명 뒤에 나와 있습니다. 다음 목록에 보이는 것처럼 대/소문자가 정확히 일치하게 매개 변수를 입력하십시오.값:
- *모든 유형의 액세스를 나타내는 와일드카드입니다.
- Chdir디렉터리 변경 - 접근자가 개체를 다른 디렉터리로 이동하도록 요청했습니다.
- Chmod모드 변경 - 접근자가 개체의 모드를 변경하도록 요청했습니다.
- Chgrp(UNIX) 그룹 변경 - 접근자가 개체가 속하는 그룹을 변경하도록 요청했습니다.
- Chown소유자 변경 - 접근자가 개체의 소유자를 변경하도록 요청했습니다.Connect사용자를 그룹에 조인 - 접근자가 새 사용자를 그룹에 추가하도록 요청했습니다.참고:Connect 값은 Join 값과 같습니다.Control(UNIX) 제어 - 접근자가 개체에 대한 Chown, Chmod, Utime, Sec, Chdir 및 Update 권한을 요청했습니다.
- Cre만들기 - 접근자가 개체를 만들도록 요청했습니다.Crrdwr만들기, 읽기 및 쓰기 - 접근자가 개체에 대한 만들기, 읽기 및 쓰기 권한을 요청했습니다.참고:CA ControlMinder는 이 값을 해당 감사 레코드에 CrRdWrite로 씁니다.Crread만들기 및 읽기 - 접근자가 개체에 대한 만들기 및 읽기 권한을 요청했습니다.참고:CA ControlMinder는 이 값을 해당 감사 레코드에 CrRead로 씁니다.Crwrite만들기 및 쓰기 - 접근자가 개체에 대한 만들기 및 쓰기 권한을 요청했습니다.참고:CA ControlMinder는 이 값을 해당 감사 레코드에 CrWrite로 씁니다.
- Del삭제 - 접근자가 개체를 삭제하도록 요청했습니다.참고:CA ControlMinder는 이 값을 해당 감사 레코드에 Erase로 씁니다.
- Join사용자를 그룹에 조인 - 접근자가 새 사용자를 그룹에 추가하도록 요청했습니다.참고:Join 값은 Connect 값과 같습니다.
- Kill중단 - 접근자가 프로세스를 중단하도록 요청했습니다.Modify수정 - 접근자가 개체에 대한 수정 권한을 요청했습니다.OwnGrp소유자 변경 및 그룹 변경 - 접근자가 개체에 대한 Chown 및 Chgrp 권한을 요청했습니다.PW암호 - 접근자가 암호를 변경하도록 요청했습니다.참고:CA ControlMinder는 이 값을 해당 감사 레코드에 Password로 씁니다.
- R읽기 - 접근자가 개체에 대한 읽기 권한을 요청했습니다.참고:(UNIX) STAT_intercept가 1로 설정된 경우 이 매개 변수에stat차단이 포함됩니다.
- 이름 바꾸기파일 이름 변경 - 접근자가 개체의 파일 이름을 변경하도록 요청했습니다.
- SecACL 변경 - 접근자가 개체의 ACL을 편집하도록 요청했습니다.참고:CA ControlMinder는 이 값을 해당 감사 레코드에 ACL로 씁니다.Update읽기, 쓰기 및 실행 - 접근자가 개체에 대한 읽기, 쓰기 및 실행 권한을 요청했습니다.참고:Update 값은 접근자가 개체에 대한 읽기 및 쓰기 권한을 요청한 이벤트도 필터링합니다.
- Utime(UNIX) 시간 변경 - 접근자가 개체의 수정 시간을 변경하도록 요청했습니다.참고:CA ControlMinder는 이 값을 해당 감사 레코드에 Utimes로 씁니다.
- W쓰기 - 접근자가 개체에 대한 쓰기 권한을 요청했습니다.
- X실행 - 접근자가 개체를 실행하도록 요청했습니다.
참고:일부 클래스에 유효하지 않은 값도 있습니다. 예를 들어 FILE 클래스의 개체에는 kill 동작을 사용할 수 없으므로 kill은 FILE 클래스에 유효하지 않은 값입니다. 규칙을 작성할 때 클래스에 대해 유효하지 않은 값을 입력하면 CA ControlMinder는 파일을 읽을 때 해당 규칙을 무시합니다. - AuthorizationResult권한 부여 결과를 정의합니다.값:
P - 허용됨
D - 거부됨
O - 로그아웃
I - serevu에 의해 비활성화(사용자 비활성화)
E - serevu에 의해 사용자 로그인 활성화
A - 암호 시도 탐지
* - 모든 값을 나타내는 와일드카드
예: 감사 필터 정책
- 이 예에서는 감사 필터링 정책이 어떻게 표시되는지 보여 줍니다.env config er config audit.cfg line+("FIEL;*;*;*;R;P")
- 이 정책은 audit.cfg 파일에 다음 줄을 씁니다. 이 줄은 접근자가 파일 리소스를 읽기 위한 액세스를 허용한 시도를 기록하는 레코드를 감사합니다.FILE;*;*;*;R;P