| Manuel FreeBSD | ||
|---|---|---|
| Précédent | Chapitre 17. Audit des événements relatifs à la sécurité du système | Suivant |
Avant de lire ce chapitre, quelques termes relatifs à l'audit doivent être explicités:
événement: un événement pouvant être audité est n'importe quel événement pouvant faire l'objet d'un suivi par le système d'audit. La création d'un fichier, la mise en place d'une connection réseau, ou une ouverture de session sont des exemples d'événements relatifs à la sécurité. Les événements sont considérés soit comme “attribuables”, quand on peut les relier à un utilisateur authentifié, soit “non-attribuables” quand on ne peut pas les relier à un utilisateur authentifié. Des événements comme ceux qui apparaissent avant l'authentification durant le processus d'ouverture de session, tels que les tentatives avec un mauvais mot de passe, sont des événement non-attribuables.
classe: les classes d'événement désignent à l'aide d'un nom particulier des ensembles d'événements en rapport les uns avec les autres et sont utilisées dans les expressions de sélection des événements. Les classes d'événement généralement utilisées sont la “création de fichiers” (fc) l'“exécution” (ex) et l'“ouverture/fermeture de session” (lo).
enregistrement: un enregistrement est une entrée du fichier de trace d'audit décrivant un événement relatif à la sécurité. Les enregistrements contiennent le type d'événement, des informations sur l'auteur (l'utilisateur) de l'action, la date et l'heure, des informations sur tout objet ou argument en relation avec l'action, et une condition de succès ou d'échec.
trace d'audit: une trace d'audit, ou fichier journal, consiste en une série d'enregistrements décrivant les événements relatifs à la sécurité. Généralement ces traces sont organisées de manière chronologiques par rapport à l'horaire de fin des événements. Seuls les processus autorisés peuvent ajouter des enregistrements aux fichiers journaux d'audit.
expression de sélection: une expression de sélection est une chaîne de caractères contenant une liste de préfixes et de classes d'événement d'audit utilisés pour désigner des événements.
préselection: le processus par lequel le système identifie quels événements intéressent l'administrateur afin d'éviter la génération d'enregistrements d'audit sans intérêt pour l'administrateur. La configuration de la présélection utilise une série d'expressions de sélection pour déterminer quelles classes d'événement sont à auditer et pour quels utilisateurs, ainsi que le paramétrage global qui s'applique aux processus authentifiés et non-authentifiés.
réduction: le processus par lequel les enregistrements de traces d'audit existantes sont sélectionnés pour être conservés, imprimés ou analysés. Ou encore le processus qui supprime de la trace d'audit les enregistrements non-désirés. En utilisant le principe de réduction, les administrateurs peuvent mettre en place des stratégies pour la conservation des données d'audit. Par exemple, les traces d'audit détaillées peuvent être conservées pendant un mois, mais passé ce délai, les traces seront réduites afin de ne préserver pour archivage que les informations relatives aux ouvertures de sessions.
| Précédent | Sommaire | Suivant |
| Audit des événements relatifs à la sécurité du système | Niveau supérieur | Installation du support pour les audits |
Ce document, ainsi que d'autres peut être téléchargé sur ftp.FreeBSD.org/pub/FreeBSD/doc/.
Pour toutes questions à propos de FreeBSD, lisez la documentation avant de contacter <questions@FreeBSD.org>.
Pour les questions sur cette documentation, contactez <doc@FreeBSD.org>.