以下术语用于说明审计服务。有些定义包含指向更完整说明的链接。
有关更多信息,请参见审计类和预选以及 audit_flags(5)、audit_class(4) 和 audit_event(4) 手册页。
有关更多信息,请参见审计日志和 audit.log(4) 手册页。
可审计的与安全相关的系统操作。为了便于选择,将事件分为多个审计类。
有关更多信息,请参见审计事件和 audit_event(4) 手册页。
作为参数提供给命令或关键字的审计类。标志的前缀可以是加号或减号,+ 表示对类的成功事件进行审计,而 - 表示对类的失败事件进行审计。在加号前面加上插入记号 ^ 表示将不审计成功事件 (^+),而在减号前面加上该插入记号表示将不审计失败事件 (^-)。
有关更多信息,请参见 audit_flags(5) 手册页和审计类语法。
用于将队列中的审计记录传输到指定位置的模块。audit_binfile 插件可创建二进制审计文件。而这些二进制文件组成了审计迹,存储在审计文件系统中。audit_remote 插件可将二进制审计记录发送到远程系统信息库。audit_syslog 插件可将选定的审计记录汇总到 syslog 日志中。
有关更多信息,请参见审计插件模块 以及模块手册页 audit_binfile (5)、audit_remote(5) 和 audit_syslog(5)。
一组可以在您的站点中启用或禁用的审计选项。您可以指定是否记录某些类型的审计数据,以及在审计队列变满时是否要暂停可审计的操作。
有关更多信息,请参见了解审计策略和 auditconfig(1M) 手册页。
审计队列中收集的审计数据。一条审计记录描述一个审计事件。每条审计记录由多个审计标记组成。
有关更多信息,请参见审计记录和审计标记和 audit.log(4) 手册页。
审计记录或审计事件字段。每个审计标记描述审计事件的一个属性,例如用户、组、程序或其他对象。
有关更多信息,请参见审计标记格式和 audit.log(4) 手册页。
一个或多个审计文件的集合,用于存储使用缺省插件 audit_binfile 的所有被审计系统上的审计数据。
有关更多信息,请参见审计迹。
收集在本地系统上生成的审计记录。这些记录可以是在全局区域或非全局区域(或者两者)中生成的。
有关更多信息,请参见审计插件模块。
有关要在审计迹中检查哪些审计事件的选择。缺省活动插件 audit_binfile 可创建审计迹。后选工具 auditreduce 命令将从审计迹中选择记录。
有关更多信息,请参见 auditreduce(1M) 和 praudit(1M) 手册页。
有关要监视哪些审计类的选择。将在审计队列中收集预选的审计类的审计事件。由于不会审计未预选的审计类,因此这些审计类的事件将不会出现在队列中。
有关更多信息,请参见审计类和预选和 audit_flags(5) 和 auditconfig(1M) 手册页。
由 root 用户拥有且任何人都可读取的文件。例如,/etc 目录和 /usr/bin 目录中的文件就是公共对象。不会审计只读事件的公共对象。例如,即使预选了 file_read (fr) 审计类,也不会审计公共对象的读取。您可以通过更改 public 审计策略选项来覆盖缺省值。
审计远程服务器 (Audit Remote Server, ARS) 接收并存储来自正被审计且配置有活动 audit_remote 插件的系统的审计记录。为了区分被审计系统与 ARS,可以将被审计系统称为“本地被审计系统”。
有关更多信息,请参见 auditconfig(1M) 手册页中的 –setremote 选项和审计远程服务器。