事件类型过滤器用于指定所审计的可审计安全性事件的类型。 虽然产品附带提供了缺省的事件类型过滤器,但是您还可以配置新的事件类型过滤器,以指定安全性审计子系统所要记录的可审计事件类型子集。
准备工作
在配置安全性审计过滤器以及安全性审计子系统的其余部分之前,请在环境中启用全局安全性。 您必须具有审计员角色才能完成本任务。 事件类型过滤器用于指定所审计的事件。 在用于启用审计子系统的面板上,启用详细审计复选框指定了要为每个事件记录的数据量。 浏览至 以启用安全性审计并确定针对每个事件记录的数据。
有关此任务
表 1. 缺省情况下, audit.xml 模板文件 中的常用事件类型过滤器。 缺省情况下,应用程序服务器提供以下常用事件类型过滤器:audit.xml模板文件:
名称 |
事件名称 |
事件的结果 |
DefaultAuditSpecification_1 |
SECURITY_AUTHN |
SUCCESS |
DefaultAuditSpecification_2 |
SECURITY_AUTHN |
被拒绝 |
DefaultAuditSpecification_3 |
SECURITY_RESOURCE_ACCESS |
SUCCESS |
DefaultAuditSpecification_4 |
SECURITY_AUTHN |
重定向 |
可以创建新的事件类型过滤器,或扩展现有缺省过滤器以捕获更多事件类型和结果。 执行本任务来创建新的事件类型过滤器
.
过程
- 单击 安全性> 安全性审计> 事件类型过滤器> 新建。
- 在“名称”字段中输入应该与此事件类型过滤器配置相关联的唯一名称。
- 指定应用此过滤器时应该记录的事件:
- 从“可选择的事件”列表中选择要审计的事件。
- 单击 添加>> 以将所选事件添加到 "已启用的事件" 列表。
- 从“可选择的事件结果”列表中选择要审计的结果。
- 单击 添加>> 以将所选结果添加到 "已启用" 事件结果列表。
- 单击 确定。
结果
成功完成本任务后,就会创建事件类型过滤器,审计服务提供程序和审计事件工厂可以选择此事件类型过滤器来收集和记录一组特定的可审计安全性事件。
下一步做什么?
在创建事件类型过滤器后,必须在审计服务提供程序和审计事件工厂中指定此过滤器,以用来收集或报告审计数据。 在配置安全性审计子系统的过程中,下一步是配置审计服务提供程序以定义审计数据的归档位置。