第18章  安全事件审计

目录
18.1 概述
18.2 本章中的一些关键术语
18.3 安装审计支持
18.4 对审计进行配置
18.5 管理审计子系统
原作 Tom Rhodes 和 Robert Watson.

18.1 概述

  FreeBSD 中包含了对于细粒度安全事件审计的支持。 事件审计能够支持可靠的、 细粒度且可配置的, 对于各类与安全有关的系统事件, 包括登录、 配置变更, 以及文件和网络访问等的日志记录。 这些日志记录对于在正在运行的系统上实施监控、 入侵检测和事后分析都十分重要。 FreeBSD 实现了 Sun 所发布的 BSM API 和文件格式, 并且与 Sun™ 的 Solaris™ 和 Apple® 的 Mac OS® X 审计实现兼容。

  这一章的重点是安装和配置事件审计。 它介绍了事件策略, 并提供了一个审计的配置例子。

  读完这章, 您将了解:

  阅读这章之前, 您应该:

警告: 审计机制中存在一些已知的限制, 例如并不是所有与安全有关的系统事件都可以审计, 另外某些登录机制, 例如基于 X11 显示管理器, 以及第三方服务的登录机制, 都不会在用户的登录会话中正确配置审计。

安全审计机制能够对系统活动生成非常详细的记录信息: 在繁忙的系统中, 记帐数据如果配置不当会非常的大, 并在一周内迅速超过几个 GB 的尺寸。 管理员应考虑审计配置中的导致磁盘空间需求的这些问题。 例如, 可能需要为 /var/audit 目录单独分配一个文件系统, 以防止在审计日志所用的文件系统被填满时影响其它文件系统。

本文档和其它文档可从这里下载:ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读文档,如不能解决再联系<questions@FreeBSD.org>.
关于本文档的问题请发信联系 <doc@FreeBSD.org>.