审计系统部署步骤

第一 要把TPN审计系统在服务器端部署好，并检测是否能正常运行
第二 在TPN上配置审计相关参数，“系统维护”--》“审计配置”中的审计选项中，勾选需要审计的内容（一般都勾选）；在“审计服务器”中，配置安装有TPN审计系统的服务器IP，并选择标准的SYSLOG服务器，然后把“发送”选项勾选。
第三 在“权限对象”--》“内容审计”中针对不同的内容审计等级，开启相应的QQ、MSN、邮件、WEB应用、文件审计选项。
第四 在“角色管理”里面，开启相应角色的内容审计功能，并且指定内容审计等级。
第五 在用户管理里面，给需要审计的客户端添加已经添加内容审计功能的角色

一、审计的记录方式是：

指对审计记录文件的设计、填制与审阅的各种方法。审计记录，有益于全面而系统地反映审计的过程和结果，为形成审计的结论和决定提供充分依据，为编写审计报告提供完整的资料，同时也有利于确定审计人员审计行为的恰当性和应负的责任范围。审计记录文件，有审计人员日记和审计工作底稿之分。

二、审计实施的其他方法：

1、审计评价方法，是指根据查明的事实，对照审计标准以判定是非良萎的方法

通过审计评价，可以确定被审计资料是否真实、正确和可信，以及确定被审计经济业务和经济活动是否合法、合理和有效。审计评价方法根据其适用范围的大小可分为一般评价方法和特定评价方法：一般评价方法是指适用于对各种被审计项目进行评价的程式和技术；特定评价方法是指只适用于对某些具体对象的评价要点与要求。

2、审计报告方法，是指对审计报告进行设计、编写与审定的方法

审计报告方法，有益于对每次审计活动的过程和结果进行综合而有重点的反映，以便于审计委托单位或审计机关对被审计单位或被审计项目做出正确的结论和处理决定，还便于被审计单位及有关部门了解审计结果以及明确各自的责任范围。

天锐绿盾是一种企业级安全管理平台，其中审计日志的存储路径可以通过配置文件进行设置。以下是具体步骤：
1 打开天锐绿盾服务器：首先需要在天锐绿盾服务器上完成一下 *** 作。
2 找到日志配置文件：打开安装目录下的 "logs" 文件夹，找到 "GrayLogsxml" 配置文件。
3 设置存储路径：修改 "GrayLogsxml" 配置文件，将 "LogPath" 节点的值改为您想要存储审计日志的路径，例如："D:\GrayLogs\Audits"。
4 保存文件：完成修改后，保存文件并重启天锐绿盾服务器，使新的存储路径生效。
需要注意的是，如果自定义存储路径是个不存在的目录，系统会自动创建该目录。在设置存储路径时，要确保路径的存在性和权限，以免出现审计日志无法正常存储的问题。
此外，天锐绿盾还提供了其他一些日志配置和管理功能，例如设置日志保留时间和日志备份策略等。需要根据实际情况进行相应的配置和管理。

你想怎么审计？只是单纯的看日志还是要实现外发的邮件必须经过审批才能出去。看日志的话exchange 2010工具里有，但速度很慢，一般都是通过反垃圾邮件系统来看。外发审计的话需要专业的审计系统。

SAP审计功能主要包括：

1)用户登陆及进程监控

2)文件类型已经文件变更纪录

3)开发纪录

4)系统日志文件审计

(从CCA安全意义来讲，由于SAP将AUDIT LOG以文件形式存储在SAP服务器上，所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制)

因此为了配合系统安全控制，SAP严谨的采用了自身的AUDIT 工具，系统内TRACE工具，可控制型TRACE工具，通过这些来进一步完善和加强系统安全。

系统安全控制策略如下：

1)通过ST03,ST03N来设置系统内TRACE的时间小于等于3天。

2)手工用SM19设置TRACE内容与时间段，将系统的每一步 *** 作都控制起来。

基本监控策略：

1)每天作一次日常检查，通过ST22,SM21,OY18,ST02,ST04查看系统内的动作，控制每日的运行状态。

2)系统管理员通过STAT 监控每三天用户的系统动作，配合以SM20监控更详细的内容，并且对于用户的一些不恰当的 *** 作可以通过SUIM来完成监控。

3)对于系统管理员的任何动作SM20也能够详细地反馈出来，每两周可以列出系统管理员的动作列表。

 关于SAP审计：

广义其实指SAP basis security以及其OS，DB的audit，而狭义就是SAP FI/CO, MM, SD等提供的系统控制的审计。是吧。

SAP自带的审计功能有两个，一个是event level的audit log，参数 rsau/enable = 1开启该功能，再用SM19 configure 要审计的event，SM20来做audit log analysis。

另外一个是对table的审计，也就是对重要的数据参数表的变动进行审计，参数rec/client开启功能，根据管理层定义的SAP系统关键的数据表列表，使用SE13配置数据表的属性，启动这些数据表变更日志的功能。再用SCU3查看这些关键数据表的变更日志。

audit log 在 *** 作系统上以文件形式存储的,因此没有sap_all却有 *** 作系统root权限的一样可以删除日志

所以OS admin 一定要进可能与 SAP admin 分开。

如果能做到这个SOD的话，即使有SAP_ALL在SAP上删除了audit log，但这个删除audit log这个动作是可以被SAP记录下来的。所以audit log依然可以起一定作用。

selinux你可以直接理解为防火墙加系统权限管理，在防火墙的更上一级。你的问题可以说涵盖比较多，先从系统管理权限来说的话，文件使用ls -l来看的话，第一列会有10个例如-rwx--x--x这样的文字组成的，这个第一位代表这个文件是什么文件，2到4为代表创建者的权限，rwx分别代表读写执行，5-7代表用户所在组的权限，8-10代表其他的人。root超级管理员不受这个属性的控制，每个用户都有一个基本组，也会有附加组。ls -l第二列代表用户创建者，第三列代表文件拥有组。还有s和t的权限。请仔细预读关于linux系统权限管理的相关文献。这是第一层的安全控制，第二层的控制位iptables，防火墙，主要针对外网对本机的出入口的权限控制。selinux涉及一部分系统管理权限以及防火墙的功能，为第三层安全机制。

---