Перед чтением этой главы необходимо определить несколько ключевых понятий. Это нужно для того, чтобы предотвратить недоразумения, которые могут возникнуть из-за разницы в трактовке некоторых терминов. В русской версии документа приводятся близкий по смыслу перевод и в скобках указывается оригинальный английский термин.
событие (event): Событие, которое может быть занесено в журнал. Администратор может выбирать, какие именно события будут журналироваться подсистемой аудита. Список важных для безопасности системы событий включает: создание файла, инициализацию сетевого соединения, вход пользователя в систему. События разделяются на ''приписываемые'' (attributable) - те, которые могут быть отнесены к конкретному пользователю - и ''не-приписываемые'' (non-attributable). Пример не-приписываемого события - любое событие, произошедшее до авторизации пользователя, такое, как неудачный вход пользователя в систему.
Класс (class): События могут быть отнесены к одному или более классам, обычно основываясь на категории события: ''создание файла'' (fc), ''доступ к файлу'' (fo), ''выполнение файла'' (ex), события входа в систему и выхода из нее (lo). Использование классов позволяет администратору создавать высокоуровневые правила аудита без указания конкретных операций, отчет о которых должен добавляться в журнал.
Запись (record): ''Запись'' - это единичная запись в журнале, описывающая то или иное событие. Запись обычно содержит информацию о типе события, информацию о субъекте события (пользователе), время события, информацию об объектах события (например, файлах) и информацию об успешности выполнения операции, породившей событие.
Журнал (trail): ''журнал'' аудита, или лог-файл - содержит серию ''записей'' о системных событиях. Как правило, журнал содержит записи в строгом хронологическом порядке по времени завершения события. Только авторизованные процессы (например, auditd) имеют доступ к журналу.
выражение выделения (selection expression): Строка, содержащая список префиксов и имен классов, используемая для выделения группы событий.
предварительное выделение (preselection): Процесс, во время которого система определяет, какие события имеют приоритетную важность для администратора. Это необходимо для того, чтобы избежать протоколирования событий, не имеющих никакой значимости. Предварительное выделение использует ряд выражений выделения для того, чтобы определить, какие именно классы событий для какого пользователя необходимо вносить в журнал, так же, как и для авторизованных и неавторизованных процессов.
Фильтрация (reduction): Процесс, в результате которого записи из существующего журнала выделяются для хранения, распечатки или анализа. Процесс во многом аналогичен предварительному выделению. Используя фильтрацию администраторы могут реализовывать различные политики хранения журналов аудита. Например, детализированный журнал может храниться месяц, но после этого он должен быть сокращен чтобы хранить только информацию о входе в систему и выходе из нее более длительный срок.
Пред. | Начало | След. |
Аудит событий безопасности | Уровень выше | Установка системы аудита |
Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.