NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

事件是系统中可观察到的现象。需要记录的事件类型是那些对系统安全和个人隐私具有重要意义和相关性的事件。事件记录还支持特定的监控和审计需求。事件类型包括密码更改、登录失败或与系统相关的访问失败，安全或隐私属性变更、管理权限使用、PIV 凭证使用、数据操作更改、查询参数或外部凭证使用。在确定需要记录的事件类型时，组织会根据将要实施的每项控制措施，考虑相应的监控和审计需求。为了完整性，事件记录包括系统运行并支持的所有协议。为了在监控和审计需求与其他系统需求之间取得平衡，事件记录需要确定在特定时间记录的事件类型子集。例如，组织可能会确定系统需要具备记录每次文件访问（无论成功与否）的能力，但由于可能对系统性能造成负担，只有在特定情况下才会启用该功能。组织希望记录的事件类型可能会发生变化。审查和更新已记录的事件集是必要的，以帮助确保这些事件保持相关性，并继续支持组织的需求。组织会考虑记录事件的类型如何可能揭示关于个人的信息，从而产生隐私风险，以及如何最好地减轻此类风险。例如，审计跟踪中可能会泄露个人可识别信息，特别是如果日志记录事件是基于模式或使用时间时。事件日志记录要求，包括记录特定事件类型的需求，可能在其他控制措施和控制增强中有所涉及。这些包括 AC-2(4)、AC-3(10)、AC-6(9)、AC-17(1)、CM-3f、CM-5(1)、IA-3(3)。b)、MA-4(1)、MP-4(2)、PE-3、PM-21、PT-7、RA-8、SC-7(9)、SC-7(15)、SI-3(8)、SI-4(22)、SI-7(8) 和 SI-10(1)。组织包括适用法律、行政命令、指令、政策、规章、标准和指南要求的事件类型。审计记录可以在各个层级生成，包括在信息通过网络时的数据包层级。选择适当的事件日志记录级别是监控和审计能力的重要组成部分，并且可以帮助识别问题的根本原因。在定义事件类型时，组织会考虑覆盖相关事件类型所需的日志记录，例如分布式、基于事务的流程中的步骤以及面向服务的架构中发生的操作。