A fejezet elolvasása előtt meg kell ismernünk néhány fontos alapfogalmat:
esemény: Vizsgálható eseménynek azt az eseményt nevezzük, amely egy vizsgálati alrendszerben naplózható. Biztonsági események lehetnek például: egy állomány létrehozása, egy hálózati kapcsolat felépítése, vagy egy felhasználó bejelentkezése. Egy esemény “jellegzetes”, ha visszakövethető valamelyik hitelesített felhasználóhoz, vagy “nem jellegzetes”, ha ez nem lehetséges. Nem jellegzetes esemény lehet minden olyan esemény, amely egy bejelentkezési folyamat hitelesítési lépése előtt történik, például egy belépési kísérlet hibás jelszóval.
osztály: Eseményosztálynak az összefüggő események névvel ellátott halmazát tekintjük, és szűrési feltételekben használjuk ezeket. Általában alkalmazott osztályok: “file creation” (fc, állománylétrehozás), “exec” (ex, programindítás), és “login_logout” (lo, ki- és bejelentkezés).
rekord: Rekordnak nevezzük a biztonsági eseményeket leíró biztonsági naplóbejegyzéseket. A rekordok tartalmazhatják a feljegyzett esemény típusát, az eseményt kiváltó tevékenységet (felhasználót), a dátumot és az időt, tetszőleges objektum vagy paraméter értékét, feltételek teljesülését vagy meghiúsulását.
nyom: Vizsgálati nyomnak vagy naplóállománynak nevezzük a különféle biztonsági eseményeket leíró vizsgálati rekordok sorozatát. A nyomok többnyire nagyjából az események bekövetkezése szerinti időrendben következnek. Csak és kizárólag az erre felhatalmazott programok hozhatnak létre rekordokat a vizsgálati nyomban.
szűrési feltétel: Szűrési feltételnek nevezünk egy olyan karakterláncot, amelyet események szűrésére használunk, és módosítókat valamint eseményosztályok neveit tartalmazza.
előválogatás: Előválogatásnak nevezzük a folyamatot, amelynek során a rendszer beazonosítja azokat az eseményeket, amelyek a rendszergazda számára fontosak. Ezáltal elkerülhetjük olyan vizsgálati rekordok generálását, amelyek számunkra érdektelen eseményekről számolnak be. Az előválogatás szűrési feltételek sorát használja az adott felhasználókhoz tartozó adott biztonsági események vizsgálatának beállításához, akárcsak a hitelesített és a nem hitelesített programokat értintő globális beállítások meghatározásához.
leszűkítés: Leszűkítésnek nevezzük a folyamatot, amelynek során a már meglevő biztonsági rekordokból válogatunk le tárolásra, nyomtatásra vagy elemzésre. Hasonlóan ez a folyamat, ahol a szükségtelen rekordokat eltávolítjuk a vizsgálatai nyomból. A leszűkítés segítségével a rendszergazdák a vizsgálati adatok eltárolására alakíthatnak ki házirendet. Például a részletesebb vizsgálati nyomokat érdemes egy hónapig megtartani, ennek lejártával viszont már inkább ajánlott leszűkíteni ezeket és archiválásra csak a bejelentkezési információkat megtartani.
Ha kérdése van a FreeBSD-vel kapcsolatban, a következő
címre írhat (angolul): <[email protected]>.
Ha ezzel a dokumentummal kapcsolatban van kérdése,
kérjük erre a címre írjon: <[email protected]>.