@邪恶贝壳
2年前 提问
1个回答

跟踪审计日志主要录什么内容

安全小白成长记
2年前

审计跟踪记录系统活动和用户活动。系统活动包括操作系统和应用程序进程的活动;用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程,审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。

跟踪审计分类:

  • 系统级审计跟踪

系统级审计要求审计跟踪至少要能够记录登录(成功和失败)、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容(如用户启动应用的尝试,无论成功或失败)。典型的系统级日志还包括和安全无关的信息,如系统操作、费用记帐和网络性能。

  • 应用级审计跟踪

系统级审计跟踪可能无法跟踪和记录应用中的事件,也可能无法提供应用和数据拥有者需要的足够的细节信息。通常,应用级审计跟踪监控和记录诸如打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。有些应用会对数据的可用性、机密性和完整性比较敏感,这些应用的审计跟踪应该记录数据修改前后的数据快照。

  • 用户审计跟踪

用户审计跟踪通常记录(1)用户直接启动的所有命令,(2)所有的鉴别和认证尝试,和(3)所访问的文件和资源。