audit.cfg File - 리소스 액세스 이벤트 필터 구문

리소스 액세스 이벤트에 속하는 감사 레코드는 다음과 같은 필터 형식을 갖습니다.
cminder12901kr
리소스 액세스 이벤트에 속하는 감사 레코드는 다음과 같은 필터 형식을 갖습니다.
ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult
  • ClassName
    액세스한 개체가 속하는 클래스의 이름을 정의합니다.
    참고:
    클래스 이름은 대문자로 입력해야 합니다.
  • ObjectName
    액세스한 개체의 이름을 정의합니다.
  • UserName
    접근자의 이름을 정의합니다.
  • ProgramPath
    개체를 액세스하는 데 사용된 프로그램의 이름을 정의합니다.
  • 액세스
    개체에 대해 요청된 액세스를 정의합니다.
    참고:
    다음 값은 감사 레코드를 필터링하기 위해 audit.cfg 파일에 사용하는 이 매개 변수의 값입니다. 경우에 따라 audit.cfg 파일에 있는 이 매개 변수의 값은 CA ControlMinder가 해당 이벤트에 대해 감사 레코드에 쓰는 값과 다릅니다. 이러한 차이는 각 값의 설명 뒤에 나와 있습니다. 다음 목록에 보이는 것처럼 대/소문자가 정확히 일치하게 매개 변수를 입력하십시오.
    값:
    • *
      모든 유형의 액세스를 나타내는 와일드카드입니다.
    • Chdir
      디렉터리 변경 - 접근자가 개체를 다른 디렉터리로 이동하도록 요청했습니다.
    • Chmod
      모드 변경 - 접근자가 개체의 모드를 변경하도록 요청했습니다.
    • Chgrp
      (UNIX) 그룹 변경 - 접근자가 개체가 속하는 그룹을 변경하도록 요청했습니다.
    • Chown
      소유자 변경 - 접근자가 개체의 소유자를 변경하도록 요청했습니다.
      Connect
      사용자를 그룹에 조인 - 접근자가 새 사용자를 그룹에 추가하도록 요청했습니다.
      참고:
      Connect 값은 Join 값과 같습니다.
      Control
      (UNIX) 제어 - 접근자가 개체에 대한 Chown, Chmod, Utime, Sec, Chdir 및 Update 권한을 요청했습니다.
    • Cre
      만들기 - 접근자가 개체를 만들도록 요청했습니다.
      Crrdwr
      만들기, 읽기 및 쓰기 - 접근자가 개체에 대한 만들기, 읽기 및 쓰기 권한을 요청했습니다.
      참고:
      ‌CA ControlMinder는 이 값을 해당 감사 레코드에 CrRdWrite로 씁니다.
      Crread
      만들기 및 읽기 - 접근자가 개체에 대한 만들기 및 읽기 권한을 요청했습니다.
      참고:
      CA ControlMinder는 이 값을 해당 감사 레코드에 CrRead로 씁니다.
      Crwrite
      만들기 및 쓰기 - 접근자가 개체에 대한 만들기 및 쓰기 권한을 요청했습니다.
      참고:
      CA ControlMinder는 이 값을 해당 감사 레코드에 CrWrite로 씁니다.
    • Del
      삭제 - 접근자가 개체를 삭제하도록 요청했습니다.
      참고:
      CA ControlMinder는 이 값을 해당 감사 레코드에 Erase로 씁니다.
    • Join
      사용자를 그룹에 조인 - 접근자가 새 사용자를 그룹에 추가하도록 요청했습니다.
      참고:
      Join 값은 Connect 값과 같습니다.
    • Kill
      중단 - 접근자가 프로세스를 중단하도록 요청했습니다.
      Modify
      수정 - 접근자가 개체에 대한 수정 권한을 요청했습니다.
      OwnGrp
      소유자 변경 및 그룹 변경 - 접근자가 개체에 대한 Chown 및 Chgrp 권한을 요청했습니다.
      PW
      암호 - 접근자가 암호를 변경하도록 요청했습니다.
      참고:
      CA ControlMinder는 이 값을 해당 감사 레코드에 Password로 씁니다.
    • R
      읽기 - 접근자가 개체에 대한 읽기 권한을 요청했습니다.
      참고:
      (UNIX) STAT_intercept가 1로 설정된 경우 이 매개 변수에
      stat
      차단이 포함됩니다.
    • 이름 바꾸기
      파일 이름 변경 - 접근자가 개체의 파일 이름을 변경하도록 요청했습니다.
    • Sec
      ACL 변경 - 접근자가 개체의 ACL을 편집하도록 요청했습니다.
      참고:
      CA ControlMinder는 이 값을 해당 감사 레코드에 ACL로 씁니다.
      Update
      읽기, 쓰기 및 실행 - 접근자가 개체에 대한 읽기, 쓰기 및 실행 권한을 요청했습니다.
      참고:
      Update 값은 접근자가 개체에 대한 읽기 및 쓰기 권한을 요청한 이벤트도 필터링합니다.
    • Utime
      (UNIX) 시간 변경 - 접근자가 개체의 수정 시간을 변경하도록 요청했습니다.
      참고:
      CA ControlMinder는 이 값을 해당 감사 레코드에 Utimes로 씁니다.
    • W
      쓰기 - 접근자가 개체에 대한 쓰기 권한을 요청했습니다.
    • X
      실행 - 접근자가 개체를 실행하도록 요청했습니다.
    참고:
    일부 클래스에 유효하지 않은 값도 있습니다. 예를 들어 FILE 클래스의 개체에는 kill 동작을 사용할 수 없으므로 kill은 FILE 클래스에 유효하지 않은 값입니다. 규칙을 작성할 때 클래스에 대해 유효하지 않은 값을 입력하면 CA ControlMinder는 파일을 읽을 때 해당 규칙을 무시합니다.
  • AuthorizationResult
    권한 부여 결과를 정의합니다.
    값:
P - 허용됨
D - 거부됨
O - 로그아웃
I - serevu에 의해 비활성화(사용자 비활성화) 
E - serevu에 의해 사용자 로그인 활성화
A - 암호 시도 탐지
* - 모든 값을 나타내는 와일드카드
예: 감사 필터 정책
  • 이 예에서는 감사 필터링 정책이 어떻게 표시되는지 보여 줍니다.
    env config er config audit.cfg line+("FIEL;*;*;*;R;P")
  • 이 정책은 audit.cfg 파일에 다음 줄을 씁니다. 이 줄은 접근자가 파일 리소스를 읽기 위한 액세스를 허용한 시도를 기록하는 레코드를 감사합니다.
    FILE;*;*;*;R;P