Los siguientes términos se usan para describir el servicio de auditoría. Algunas definiciones incluyen enlaces a descripciones más completas.
Una agrupación de eventos de auditoría. Las clases de auditoría proporcionan una forma de seleccionar un grupo de eventos que se van a auditar.
Para obtener más información, consulte Clases de auditoría y preselección y las páginas del comando man audit_flags(5), audit_class(4) y audit_event(4).
Un repositorio de archivos de auditoría en formato binario.
Para obtener más información, consulte Logs de auditoría y la página del comando man audit.log(4).
Una acción del sistema relacionada con la seguridad que se puede auditar. Para una mayor facilidad de selección, los eventos se agrupan en clases de auditoría.
Para obtener más información, consulte Eventos de auditoría y la página del comando man audit_event(4).
Una clase de auditoría que se proporciona como un argumento para un comando o palabra clave. Un indicador puede estar precedido de un signo más o signo menos para indicar que la clase se audita para determinar si es correcta (+) o tiene fallos (-). Un signo de intercalación (^) indica que no se debe auditar una clase correcta (^+) o que no se debe auditar una clase con fallos (^-).
Para obtener más información, consulte la página del comando man audit_flags(5) y Sintaxis de la clase de auditoría.
Un módulo que transfiere los registros de auditoría de la cola a una ubicación especificada. El complemento audit_binfile crea archivos de auditoría binarios. Los archivos de auditoría binarios incluyen la pista de auditoría, que está almacenada en sistemas de archivos de auditoría. El complemento audit_remote envía registros de auditoría binarios a un repositorio remoto. El complemento audit_syslog realiza un resumen de todos los registros de auditoría en los registros syslog.
Para obtener más información, consulte Módulos de complemento de auditoría y las páginas del comando man de módulo, audit_binfile(5), audit_remote(5) y audit_syslog(5).
Un conjunto de opciones de auditoría que puede activar o desactivar en el sitio. Puede especificar si determinados tipos de datos de auditoría se deben registrar y si desea suspender las acciones auditables cuando la cola de auditoría está llena.
Para obtener más información, consulte Comprensión de la política de auditoría y la página del comando man auditconfig(1M).
Datos de auditoría que se recopilan en la cola de auditoría. Un registro de auditoría describe un único evento de auditoría. Cada registro de auditoría se compone de tokens de auditoría.
Para obtener más información, consulte Registros de auditoría y tokens de auditoría y la página del comando man audit.log(4).
Un campo de un evento o registro de auditoría. Cada token de auditoría describe un atributo de un evento de auditoría, como un usuario, un grupo, un programa u otro objeto.
Para obtener más información, consulte Formatos de token de auditoría y la página del comando man audit.log(4).
Una colección de uno o más archivos de auditoría que almacenan los datos de auditoría de todos los sistemas auditados que utilizan el complemento predeterminado, audit_binfile.
Para obtener más información, consulte Pista de auditoría.
Recopilación de registros de auditoría que se generan en el sistema local. Los registros se pueden generar en la zona global, en las zonas no globales o en ambos lugares.
Para obtener más información, consulte Módulos de complemento de auditoría.
La elección de qué eventos de auditoría se deben examinar en la pista de auditoría. El complemento activo predeterminado, audit_binfile , crea la pista de auditoría. Una herramienta de selección posterior, el comando auditreduce, selecciona registros de la pista de auditoría.
Para obtener más información, consulte las páginas del comando man auditreduce(1M) y praudit(1M).
La elección de qué clases de auditoría se deben supervisar. Los eventos de auditoría de clases de auditoría preseleccionadas se recopilan en la cola de auditoría. Las clases de auditoría que no se preseleccionan no se auditan, por lo que sus eventos no aparecen en la cola.
Para obtener más información, consulte Clases de auditoría y preselección y las páginas del comando man audit_flags(5) y auditconfig(1M).
Un archivo que es propiedad del usuario root y que todos pueden leer. Por ejemplo, los archivos en el directorio /etc y el directorio /usr/bin son objetos públicos. Los objetos públicos no se auditan en eventos de sólo lectura. Por ejemplo, incluso si la clase de auditoría file_read (fr) está preseleccionada, la lectura de objetos públicos no se audita. Puede sustituir el valor predeterminado cambiando la opción de política de auditoría public.
Servidor de auditoría remota (Audit Remote Server, ARS) que recibe y almacena los registros de auditoría de un sistema que se está auditando y se configura con un complemento audit_remote activo. Para distinguir un sistema auditado de un ARS, se puede hacer referencia al sistema auditado como “sistema auditado localmente”.
Para obtener más información, consulte las opciones –setremote en la página del comando man auditconfig(1M) y en Servidor de auditoría remoto.