第 16 章 安全事件审计

Written by Tom RhodesRobert Watson.
目录
16.1. 简介
16.2. 本章出现的重要术语
16.3. 对审计进行配置
16.4. 管理审计子系统

16.1. 简介

FreeBSD 中包含了对于安全事件审计的支持。事件审计能够支持可靠的、细粒度且可配置的,对于各类与安全有关的系统事件,包括登录、配置变更,以及文件和网络访问等的日志记录。这些日志记录对于在正在运行的系统上实施监控、入侵检测和事后分析都十分重要。FreeBSD 实现了 Sun™所发布的 BSM API 和文件格式,并且与 Solaris™ 和 Mac OS® X 审计实现兼容。

这一章的重点是安装和配置事件审计。 它介绍了事件策略, 并提供了一个审计的配置例子。

读完本章节,你将会知道:

  • 事件审计是什么, 以及它如何工作。

  • 如何在 FreeBSD 上为用户和进程配置事件审计。

  • 如何使用审计记录摘要和复审工具来对审计记录进行复审。

在阅读这个章节之前,您应当:

警告:

审计机制中存在一些已知的限制,例如并不是所有与安全有关的系统事件都可以审计,另外某些登录机制,例如基于 Xorg 显示管理器,以及第三方服务的登录机制,都不会在用户的登录会话中正确配置审计。

安全审计机制能够对系统活动生成非常详细的记录信息。在繁忙的系统中,记帐数据如果配置不当会非常的大,并在一周内迅速超过几个 GB 的尺寸。管理员应考虑审计配置中的导致磁盘空间需求的这些问题。例如,可能需要为 /var/audit 目录单独分配一个文件系统, 以防止在审计日志所用的文件系统被填满时影响其它文件系统。

本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读 文档,如不能解决再联系 <questions@FreeBSD.org>.

关于本文档的问题请发信联系 <doc@FreeBSD.org>.