Cisco Cisco Firepower Management Center 4000 User Guide

69-4

FireSIGHT 系统用户指南

第 69 章      审计系统       

  管理审计记录

屏蔽审计记录

许可证：任何环境

如果审计策略不要求您审计特定类型的用户和 FireSIGHT 系统之间的交互，则您可以避免这些交
互生成审计记录。例如，默认情况下，每次用户查看联机帮助， FireSIGHT 系统都会生成一个审
计记录。如果您不需要保留这些交互记录，可以自动屏蔽它们。

要配置审计事件屏蔽，您必须具备设备的

管理员

 用户帐户权限，且必须能够访问设备的控制台或

打开一个安全外壳。

注意事项

确保仅授权人员可以访问设备及其

管理员

帐户。

要屏蔽审计记录，必须在下表中的 

/etc/sf

 目录下创建一个或多个文件：

AuditBlock.type

其中 

 为 

address

、

message

、

subsystem

 或 

user

。

注

如果您为特定类型的审计信息创建了一个 

AuditBlock.type

 文件，但之后确定不再想屏蔽它们，

则您必须删除 

AuditBlock.type

 文件的内容，但在 FireSIGHT 系统中保留文件本身。

每种审计块类型的内容都必须为特定格式，如下表所述。确保您使用的是正确的文件名大写字
母。另请注意，文件的内容区分大小写。

请注意，当您添加 

AuditBlock

 文件时，带 

Audit

 子系统和 

Audit Filter type Changed

 消息的审

计记录会被添加到审计事件中。出于安全原因，该审计记录不能被屏蔽。

表 

审计块类型 

类型

说明

地址

创建一个以 

AuditBlock.address

 命名的文件，并包括您想要从审计日志中屏

蔽的各 IP 地址，每行一个。您可以使用部分 IP 地址，前提是它们从地址开始
处映射。例如，部分地址 

10.1.1

 匹配从 

10.1.1.0

 到 

10.1.1.255

 的地址。

通信

创建一个命名为 

AuditBlock.message

 的文件，并包括您想要屏蔽的消息子字

符串，每行一个。

请注意，子字符串匹配，这样，如果您的文件中包括 

backup

，则包括文字 

backup

 的所有消息都将被屏蔽。

Subsystem

创建一个命名为 

AuditBlock.subsystem

 的文件，并包括您想要屏蔽的各子系

统，每行一个。

请注意，子字符串不匹配。您必须使用准确的字符串。有关所审计的子系统
列表，请参阅

用户

创建一个命名为 

AuditBlock.user

 的文件，并包括您想要屏蔽的各用户帐号，

每行一个。您可以使用部分字符串匹配，前提是它们从用户名开始处映射。
例如，部分用户名

 IPSAnalyst

 匹配用户名 

IPSAnalyst1

 和 

IPSAnalyst2

。