Cisco Cisco Firepower Management Center 4000 User Guide
69-4
FireSIGHT 系统用户指南
第 69 章 审计系统
管理审计记录
屏蔽审计记录
许可证:任何环境
如果审计策略不要求您审计特定类型的用户和 FireSIGHT 系统之间的交互,则您可以避免这些交
互生成审计记录。例如,默认情况下,每次用户查看联机帮助, FireSIGHT 系统都会生成一个审
计记录。如果您不需要保留这些交互记录,可以自动屏蔽它们。
互生成审计记录。例如,默认情况下,每次用户查看联机帮助, FireSIGHT 系统都会生成一个审
计记录。如果您不需要保留这些交互记录,可以自动屏蔽它们。
要配置审计事件屏蔽,您必须具备设备的
管理员
用户帐户权限,且必须能够访问设备的控制台或
打开一个安全外壳。
注意事项
确保仅授权人员可以访问设备及其
管理员
帐户。
要屏蔽审计记录,必须在下表中的
/etc/sf
目录下创建一个或多个文件:
AuditBlock.type
其中
type
为
address
、
message
、
subsystem
或
user
。
注
如果您为特定类型的审计信息创建了一个
AuditBlock.type
文件,但之后确定不再想屏蔽它们,
则您必须删除
AuditBlock.type
文件的内容,但在 FireSIGHT 系统中保留文件本身。
每种审计块类型的内容都必须为特定格式,如下表所述。确保您使用的是正确的文件名大写字
母。另请注意,文件的内容区分大小写。
母。另请注意,文件的内容区分大小写。
请注意,当您添加
AuditBlock
文件时,带
Audit
子系统和
Audit Filter type Changed
消息的审
计记录会被添加到审计事件中。出于安全原因,该审计记录不能被屏蔽。
表
69-2
审计块类型
类型
说明
地址
创建一个以
AuditBlock.address
命名的文件,并包括您想要从审计日志中屏
蔽的各 IP 地址,每行一个。您可以使用部分 IP 地址,前提是它们从地址开始
处映射。例如,部分地址
处映射。例如,部分地址
10.1.1
匹配从
10.1.1.0
到
10.1.1.255
的地址。
通信
创建一个命名为
AuditBlock.message
的文件,并包括您想要屏蔽的消息子字
符串,每行一个。
请注意,子字符串匹配,这样,如果您的文件中包括
backup
,则包括文字
backup
的所有消息都将被屏蔽。
Subsystem
创建一个命名为
AuditBlock.subsystem
的文件,并包括您想要屏蔽的各子系
统,每行一个。
请注意,子字符串不匹配。您必须使用准确的字符串。有关所审计的子系统
列表,请参阅
列表,请参阅
用户
创建一个命名为
AuditBlock.user
的文件,并包括您想要屏蔽的各用户帐号,
每行一个。您可以使用部分字符串匹配,前提是它们从用户名开始处映射。
例如,部分用户名
例如,部分用户名
IPSAnalyst
匹配用户名
IPSAnalyst1
和
IPSAnalyst2
。