Prima di leggere questo capitolo, dobbiamo chiarire alcuni termini relativi all'audit:
event: Un event tracciabile da audit è ogni evento che può essere tenuto sotto osservazione dal sottosistema di audit. Esempi di eventi rilevanti per la sicurezza includono la creazione di un file, lo stabilire una connessione di rete, o il loggarsi di un utente. Gli event sono o “attribuibili”, ovvero possono essere riferiti ad un utente autenticato, o “non attribuibili” se non possono esserlo. Esempi di eventi non attribuibili sono tutti gli eventi che occorrono prima dell'autenticazione nel processo di login, come tentativi di login con password errata.
class: Le class di eventi sono insiemi di eventi correlati fra loro, e sono usati nelle espressioni di selezione. Class di eventi usate spesso includono “ la creazione di file” (fc), “esecuzione” (ex) e “login_logout” (lo).
record: Un record è una voce nel log di audit che descrive un evento di sicurezza. I record contengono il tipo di evento, informazione sul soggetto che ha causato l'evento, informazione sulla data e sull'ora dell'evento, informazione su ogni oggetto o argomento, ed una condizione di successo o fallimento.
trail: Una traccia di audit, o file di log, consiste in una serie di record di eventi che descrivono eventi di sicurezza. Tipicamente le tracce sono in qualche modo in ordine cronologico rispetto all'istante in cui l'evento si è realizzato. Solo processi autorizzati hanno il permesso di tracciare record nella traccia di audit.
selection expression: Una espressione di selezione è una stringa che contiene una lista di prefissi e nomi di classi di eventi usati per catalogare eventi.
preselection: Il processo attraverso il quale il sistema identifica quali eventi sono di interesse per l'amministratore al fine di evitare di generare record di audit per eventi che non siano di interesse. La configurazione della preselezione usa una serie di espressioni di selezioni per identificare quali classi di eventi siano da tracciare per quale utente, come anche impostazioni globali che si applicano sia a processi autenticati che nono autenticati.
reduction: Il processo attraverso il quale i record di un audit esistente sono selezionati per il salvataggio, la stampa, l'analisi. Ovvero, il processo attraverso il quale record di audit non desiderati siano rimossi dalla traccia di audit. Usando la riduzione, gli amministratori sono in grado di implementare politiche per il salvataggio di dati di audit. Per esempio, tracce di audit dettagliate possono essere tenute per un mese, dopodichè le tracce possono essere ridotte al fine di preservare solo le informazioni di login.
Questo, ed altri documenti, possono essere scaricati da ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
Per domande su FreeBSD, leggi la documentazione prima di contattare <questions@FreeBSD.org>.
Per domande su questa documentazione, invia una e-mail a <doc@FreeBSD.org>.