17.2. 关键术语

以下术语与安全事件审计有关:

  • 事件(event):可审计事件是任何可以使用审计子系统来记录的事件。安全相关事件包括创建一个文件、建立一个网络连接或一个用户登录。事件要么是“归属”,意味着它们可以追踪到一个经过验证的用户,要么是“非归属”。非归属事件是在登录认证之前发生的任何事件,如错误的密码尝试。

  • 类(class):一组命名的在选择表达式中使用的相关事件。常用的事件类别包括“文件创建”(fc)、“执行”(ex)和“登录_退出”(lo)。

  • 记录(record):描述一个安全事件的审计日志条目。记录包含记录事件类型、执行行动的主体(用户)的信息、日期和时间信息、任何对象或参数的信息以及成功或失败状态。

  • 账目(trail):一个由一系列描述安全事件的审计记录组成的日志文件。跟踪大致是按照事件完成的时间顺序排列的。只有授权的进程才允许向审计跟踪提交记录。

  • 筛选表达式(selection expression):包含用于匹配事件的一系列前缀和审计事件类别名称的字符串。

  • 预选(preselection):系统识别哪些事件是管理员感兴趣的过程。预选配置使用一系列选择表达式来确定哪些用户的哪些事件类别需要审计,以及适用于已认证和未认证进程的全局设置。

  • 浓缩(reduction):从现有的审计跟踪中选择进行保存、打印或分析的记录的过程。同样,从审计跟踪中删除不需要的审计记录的过程也是如此。利用减少,管理员可以实施审计数据的保存策略。例如,详细的审计跟踪可能会被保留一个月,但此之后,跟踪可能会被减少,以便于存档而只保留登录信息。