19.1.概述

FreeBSD 操作系统包含对安全事件审计的支持。事件审计支持对各种与安全相关的系统事件（包括登录、配置变化、文件和网络访问）进行可靠的、精细的、可配置的日志记录。这些日志记录对于实时系统监控、入侵检测和事后分析都是非常宝贵的。FreeBSD 实现了 Sun™ 发布的基本安全模块（BSM）应用程序接口（API）和文件格式，并与 Solaris™ 和 Mac OS® X 的审计实现兼容。

本章重点介绍了事件审计的安装和配置。介绍了审计策略并提供一个审计配置的例子。

读完本章后，你会知道：

• 什么是事件审计，它是如何工作的。

• 如何在 FreeBSD 上为用户和进程配置事件审计。

• 如何使用审计还原和复核工具来复核审计跟踪。

在阅读本章之前，你应该：

• 了解 UNIX® 和 FreeBSD 的基础知识（FreeBSD 基础）。

• 熟悉内核配置/编译的基础知识（配置 FreeBSD 内核）。

• 对安全及其与 FreeBSD 的关系有一定的了解（安全）。

警告

审计机制有一些已知限制。并非所有与安全有关的系统事件都可以被审计，一些登录机制，如基于 Xorg 的显示管理器和第三方守护程序，并没有正确的配置用户登录会话的审计。

安全事件审计工具能够生成非常详细的系统活动日志。在一个繁忙的系统中，当配置为高度详细时，跟踪文件数据可能非常大，在某些配置中每周会超过几 GB。管理员应该考虑到与高频审计配置有关的磁盘空间要求。例如，可能需要为 /var/audit 专设一个文件系统，这样，即使审计文件系统装满，也不会影响到其他文件系统。