Les termes suivants sont utilisés pour décrire le service d'audit. Certaines définitions incluent des pointeurs vers des descriptions plus complètes.
Regroupement d'événements d'audit. Les classes d'audit permettent de sélectionner un groupe d'événements à auditer.
Pour plus d'informations, reportez-vous aux pages de manuel Classes d'audit et présélection, audit_flags(5), audit_class(4) et audit_event(4).
Référentiel de fichiers d'audit au format binaire.
Pour plus d'informations, reportez-vous à la section Journaux d'audit et à la page de manuel audit.log(4).
Action du système ayant trait à la sécurité et pouvant faire l'objet d'un audit. Pour faciliter la sélection, les événements sont regroupés en classes d'audit.
Pour plus d'informations, reportez-vous à la section Evénements d'audit et à la page de manuel audit_event(4).
Classe d'audit fournie comme argument d'une commande ou d'un mot-clé. Un indicateur peut être précédé d'un signe plus ou moins pour indiquer que la classe fait l'objet d'un audit portant respectivement sur la réussite (+) ou l'échec (-). Un caret (^) précédant indique qu'une réussite ne doit pas faire l'objet d'un audit (^+) ou qu'un échec ne doit pas faire l'objet d'un audit (^-).
Pour plus d'informations, reportez-vous à la page de manuel audit_flags(5) et à la section Syntaxe de classe d'audit.
Module transférant les enregistrements d'audit placés dans la file d'attente vers un emplacement spécifié. Le plug-in audit_binfile crée des fichiers d'audit binaires. Les fichiers binaires constituent la piste d'audit, qui est stockée sur les systèmes de fichiers d'audit. Le plug-in audit_remote envoie les enregistrements d'audit binaires à un référentiel distant. Le plug-in audit_syslog récapitule les enregistrements d'audit sélectionnés dans les journaux syslog.
Pour plus d'informations, reportez-vous à la section Modules de plug-in d'audit et aux pages de manuel du module audit_binfile(5), audit_remote(5) et audit_syslog(5).
Ensemble d'options d'audit que vous pouvez activer ou désactiver sur votre site. Vous avez la possibilité d'enregistrer certains types de données d'audit, et d'indiquer si les actions auditables doivent être suspendues ou pas lorsque la file d'attente d'audit est pleine.
Pour plus d'informations, reportez-vous à la section Principes de la stratégie d'audit et à la page de manuel auditconfig(1M).
Données d'audit collectées dans la file d'attente d'audit. Un enregistrement d'audit décrit un événement d'audit unique. Chaque enregistrement d'audit est constitué de jetons d'audit.
Pour plus d'informations, reportez-vous à la section Enregistrements d'audit et jetons d'audit et à la page de manuel audit.log(4).
Champ d'un enregistrement ou événement d'audit. Chaque jeton d'audit décrit un attribut d'un événement d'audit, tel qu'un utilisateur, un programme ou un autre objet.
Pour plus d'informations, reportez-vous à la section Formats de jeton d'audit et à la page de manuel audit.log(4).
Ensemble composé d'un ou de plusieurs fichiers d'audit, stockant les données d'audit de tous les systèmes soumis à l'audit qui exécutent le plug-in par défaut audit_binfile.
Pour plus d'informations, reportez-vous à la section Piste d'audit.
Collecte des enregistrements d'audit générés sur le système local. Les enregistrements peuvent être générés dans la zone globale ou dans des zones non globales, ou les deux.
Pour plus d'informations, reportez-vous à la section Modules de plug-in d'audit.
Sélection des événements d'audit à examiner dans la piste d'audit. Le plug-in actif par défaut audit_binfile crée la piste d'audit. Un outil de postsélection, la commande auditreduce, sélectionne des enregistrements dans la piste d'audit.
Pour plus d'informations, reportez-vous aux pages de manuel auditreduce(1M) etpraudit(1M).
Sélection des classes d'audit à surveiller. Les événements d'audit des classes d'audit présélectionnées sont recueillis dans la file d'attente d'audit. Les classes d'audit non présélectionnées ne sont pas soumises à l'audit. Les événements correspondants n'apparaissent donc pas dans la file d'attente.
Pour plus d'informations, reportez-vous à la section Classes d'audit et présélection et aux pages de manuel audit_flags(5) et auditconfig(1M).
Fichier appartenant à l'utilisateur root et lisible par tout le monde. Par exemple, les fichiers des répertoires /etc et /usr/bin sont des objets publics. Les objets publics ne font pas l'objet d'un audit pour les événements en lecture seule. Par exemple, même si la classe d'audit file_read (fr) est présélectionnée, la lecture des objets publics n'est pas auditée. Vous pouvez écraser la valeur par défaut en modifiant l'option de stratégie d'audit public.
Serveur d'audit à distance (ARS) qui reçoit et stocke les enregistrements d'audit d'un système dont l'audit est en cours et qui est configuré avec un plug-in audit_remote actif. Pour différencier un système audité d'un serveur ARS, le système audité peut être appelé le “système audité localement”.
Pour plus d'informations, reportez-vous aux options –setremote présentées dans la page de manuel auditconfig(1M) et dans la section Serveur d'audit à distance.