19.2.关键术语

以下术语与安全事件审计相关：

• 事件：可通过审计子系统记录的任何事件都属于可审计事件。安全相关事件的示例包括文件创建、网络连接建立或用户登录。事件分为“可归因”，即可以追溯到经过身份验证的用户，或者“不可归因”。不可归因事件的示例包括身份验证前登录过程中发生的任何事件，如密码错误尝试。

• 类：选择表达式中使用的一组相关事件的命名。常用的事件类包括“文件创建”（fc）、“执行”（ex）和“登录注销”（lo）。

• 记录：描述安全事件的审计日志条目。记录包含记录事件类型、执行操作的主体（用户）信息、日期和时间信息、任何对象或参数的信息，以及成功或失败的条件。

• trail：一个由一系列描述安全事件的审计记录组成的日志文件。跟事件完成时间有关，按照大致时间顺序排列。只有授权的进程才能让向审计路径提交记录。

• selection expression：一个字符串，包含用于匹配事件的前缀列表和审计事件类名称。

• preselection：系统识别管理员感兴趣的事件的过程。预选配置使用一系列选择表达式，以确定要为哪些用户审计哪些事件类，以及同时适用于已验证和未验证进程的全局设置。

• 精选：从现有审计追踪中选择记录以供保留、打印或分析的过程。同样，不需要的审计记录从审计追踪中移除的过程。通过精选，管理员可以实施保留审计数据的政策。例如，详细的审计追踪可能会保留一个月，但之后可能会进行精选，只保留登录信息以备存档目的。