ahlt
|
此策略仅适用于异步事件。禁用后,此策略允许在不生成审计记录的情况下完成事件。
启用后,此策略会在审计文件系统已满时停止系统。需要管理干预才能清除审计队列、为审计记录提供空间,以及重新引导系统。只能在全局区域中启用此策略。此策略影响所有区域。
|
当系统可用性比安全性更重要时,适合使用禁用选项。
在安全性极为重要的环境中,适合使用启用选项。
|
arge
|
禁用后,此策略将从 exec 审计记录中忽略已执行程序的环境变量。
启用后,此策略会将已执行程序的环境变量添加到 exec 审计记录。与禁用此策略的情况相比,生成的审计记录包含更多详细信息。
|
与启用选项相比,禁用选项收集的信息要少很多。
当审计数个用户时,适合使用启用选项。怀疑 exec 程序中使用的环境变量有问题时,也可以使用此选项。
|
argv
|
禁用后,此策略将从 exec 审计记录中忽略已执行程序的参数。
启用后,此策略会将已执行程序的参数添加到 exec 审计记录。与禁用此策略的情况相比,生成的审计记录包含更多详细信息。
|
与启用选项相比,禁用选项收集的信息要少很多。
当审计数个用户时,适合使用启用选项。当您确信所运行的 exec 程序异常时,也可以使用此选项。
|
cnt
|
禁用后,此策略将阻止用户或应用程序运行。由于没有可用磁盘空间而导致审计记录无法添加到审计跟踪时,会发生阻止。
启用后,此策略允许在不生成审计记录的情况下完成事件。此策略维护已删除审计记录的计数。
|
在安全性极为重要的环境中,适合使用禁用选项。
当系统可用性比安全性更重要时,适合使用启用选项。
|
group
|
禁用后,此策略不会在审计记录中添加组列表。
启用后,此策略会在每条审计记录中添加组列表作为特殊标记。
|
禁用选项通常可以满足站点的安全要求。
当需要审计哪些组正在生成审计事件时,适合使用启用选项。
|
path
|
禁用后,此策略会在每条审计记录中最多记录一条在系统调用期间所使用的路径。
启用后,此策略会将与审计事件结合使用的每条路径记录到每条审计记录中。
|
禁用选项在审计记录中最多放置一条路径。
启用选项会将系统调用期间使用的每个文件名或路径输入到审计记录中,作为 path 标记。
|
perzone
|
禁用后,此策略针对每个系统只维护一个审计配置。全局区域中运行一个审计守护进程。通过预选 zonename 审计标记,可在审计记录中找到非全局区域中的审计事件。
启用后,此策略会为每个区域维护单独的审计配置、审计队列和审计日志。每个区域中运行单独的审计守护进程版本。只能在全局区域中启用此策略。
|
当您没有特殊的理由为每个区域维护单独的审计日志、队列和守护进程时,禁用选项很有用。
当您无法仅通过预选 zonename 审计标记来有效监视系统时,启用选项很有用。
|
public
|
禁用后,如果预选文件的读取,则此策略不会将公共对象的只读事件添加到审计跟踪。包含只读事件的审计类包括 fr、fa 和 cl。
启用后,如果预选了适当的审计类,则此策略会记录公共对象的每个只读审计事件。
|
禁用选项通常可以满足站点的安全要求。
启用选项很少有用。
|
seq
|
禁用后,此策略不会将序列号添加到每条审计记录中。
启用后,此策略会将序列号添加到每条审计记录中。sequence 标记保留序列号。
|
当审计顺利进行时,禁用选项便已够用。
当启用 cnt 策略后,适合使用启用选项。利用 seq 策略,可以确定废弃数据的时间。
|
trail
|
禁用后,此策略不会将 trailer 标记添加到审计记录中。
启用后,此策略会将 trailer 标记添加到每条审计记录中。
|
禁用选项会创建一条较短的审计记录。
启用选项会使用 trailer 标记清晰地标记每条审计记录的结束。trailer 标记经常与 sequence 标记结合使用。trailer 标记可以使审计记录的重新同步更简单、更精确。
|
zonename
|
禁用后,此策略不会在审计记录中包括 zonename 标记。
启用后,此策略会在非全局区域的每条审计记录中包括 zonename 标记。
|
当无需跨区域比较审计行为时,禁用选项很有用。
当需要区分各区域中的审计行为并对其进行比较时,启用选项很有用。
|