AIX系统中Audt系统的功能和概念.docVIP

[转]AIX系统中Audit系统的功能和概念，以及相关的命令 本文简要介绍了audit系统的功能和概念，以及相关的命令 一、AUDIT系统的概念: audit子系统提供了一种纪录系统安全方面信息的方法，同时可以为系统管理员在用户违反系统安全法则或存在违反的潜在可能时，提供及时的警告信息，这些audit子系统所搜集的信息包括：可被审计的事件名称，事件状态（成功或失败），别的安全相关的信息。 AIX定义了一些可被审计的事件，可以在/etc/security/audit/events中找到，通常，这些事件都是定义在系统调用级别的。那么，一条命令可以产生多个事件，例如，如果用户通过cat或more命令来显示文件，可以在审计报告中发现下列事件： FILE_Open（打开文件） FILE_Read（读文件） FILE_Write（写文件） PROC_Create（产生进程cat或more） PROC_Execute（执行命令） PROC_Delete（进程执行完毕） 如果不加选择审计所有的事件会产生非常大量的数据，通过修改audit配置文 件/etc/security/audit/config文件，可以选择需纪录的事件。 审计事件可以组成类，多个功能类似或相近的审计事件可以为它们定义一个类，类的定义也 在/etc/security/audit/config中