在开始阅读这章之前, 首先需要解释一些关键的术语。 这是为了清除一些由于引入新术语而带来的困惑和阅读障碍。
事件 (event): 可审计事件是指能够被审计子系统记录的事件。 管理员可以配置审计哪些事件。 举例说来, 与安全有关的事件包括创建文件、 建立网络连接, 以及以某一用户身份登录, 等等。 任何事件必属于 “有主 (attributable)”, 即可以最终归于某一用户身份, 或 “无主(non-attributable)” 二者之一。 举例而言, 无主事件可以是任何发生在登录过程成功之前的事件, 例如失败的登录尝试, 等等。
类 (class): 事件可以指定为一个或多个类, 通常这是基于事件的一般类别来进行的, 例如 “创建文件”、 “访问文件”, 或 “网络”。 登录和注销事件, 则指定为 lo 类。 通过使用类, 管理员能够指定更高层次的审计规则, 而无需一一指定每个需要进行记录的可审计操作。
记录 (record): 记录是描述安全事件的一个日志项。 典型的记录包括记录事件类型、 与事件有关的主体 (用户) 信息、 时间信息、 相关的任何对象信息, 以及事件所关联的操作是否成功的信息。
账目 (trail): 审计账目, 或日志文件, 包含了一系列描述安全事件的审计记录。 典型情况下, 审计账目基本上是以事件发生的时间顺序记录的。 只有获得授权的进程, 才能够向审计账目中提交记录。
前缀 (prefix): 前缀是指被用来开关对成功和失败事件审计的配置元素。
本文档和其它文档可从这里下载:ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
如果对于FreeBSD有问题,请先阅读文档,如不能解决再联系<[email protected]>.
关于本文档的问题请发信联系 <[email protected]>.