From owner-svn-doc-head@freebsd.org Sun Jul 5 16:40:07 2015 Return-Path: Delivered-To: svn-doc-head@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id D21A6AEA7; Sun, 5 Jul 2015 16:40:07 +0000 (UTC) (envelope-from blackend@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2001:1900:2254:2068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id BC1C61FA2; Sun, 5 Jul 2015 16:40:07 +0000 (UTC) (envelope-from blackend@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.70]) by repo.freebsd.org (8.14.9/8.14.9) with ESMTP id t65Ge7wu025836; Sun, 5 Jul 2015 16:40:07 GMT (envelope-from blackend@FreeBSD.org) Received: (from blackend@localhost) by repo.freebsd.org (8.14.9/8.14.9/Submit) id t65Ge7Zw025834; Sun, 5 Jul 2015 16:40:07 GMT (envelope-from blackend@FreeBSD.org) Message-Id: <201507051640.t65Ge7Zw025834@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: blackend set sender to blackend@FreeBSD.org using -f From: Marc Fonvieille Date: Sun, 5 Jul 2015 16:40:07 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r46924 - head/fr_FR.ISO8859-1/books/handbook/audit X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Mailman-Approved-At: Sun, 05 Jul 2015 16:55:41 +0000 X-BeenThere: svn-doc-head@freebsd.org X-Mailman-Version: 2.1.20 Precedence: list List-Id: SVN commit messages for the doc tree for head List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 05 Jul 2015 16:40:08 -0000 Author: blackend Date: Sun Jul 5 16:40:06 2015 New Revision: 46924 URL: https://svnweb.freebsd.org/changeset/doc/46924 Log: MFen: --> r44395 Modified: head/fr_FR.ISO8859-1/books/handbook/audit/chapter.xml Modified: head/fr_FR.ISO8859-1/books/handbook/audit/chapter.xml ============================================================================== --- head/fr_FR.ISO8859-1/books/handbook/audit/chapter.xml Sun Jul 5 16:38:24 2015 (r46923) +++ head/fr_FR.ISO8859-1/books/handbook/audit/chapter.xml Sun Jul 5 16:40:06 2015 (r46924) @@ -4,7 +4,7 @@ The FreeBSD French Documentation Project $FreeBSD$ - Original revision: 1.33 + Original revision: 44395 --> MAC - &os; 6.2 et les versions suivantes disposent d'un + &os; dispose d'un support pour l'audit d'événements relatifs à la sécurité du système. L'audit d'événements permet un enregistrement fiable et @@ -46,8 +46,9 @@ requirements. --> enregistrements ou journaux peuvent être d'une très grande aide pour la surveillance d'un système, pour la détection d'intrusion, et les analyses post-mortem. &os; - implémente l'API et le format de fichiers - BSM publiés par &sun; qui sont + implémente l'API et le format de fichiers + BSM (Basic Security + Module) publiés par &sun; qui sont interopérables avec les implémentations d'audits de &solaris; de &sun; et de &macos; X d'&apple;. @@ -95,27 +96,20 @@ requirements. --> - La fonctionnalité d'audit sous &os; 6.X est - considérée comme expérimentale, aussi un - déploiement en production ne devrait intervenir - qu'après avoir considéré avec prudence les - risques découlant de l'utilisation de logiciels - expérimentaux. Parmi les limitations connues, on peut - citer le fait que tous les événements + La fonctionnalité d'audit connaît des limitations. + Tous les événements systèmes en rapport avec la sécurité ne peuvent pas être soumis à un audit, et que certains mécanismes d'ouverture de session, comme les gestionnaires de procédures de connexions basés - sur X11 et des démons tiers, ne permettent + sur Xorg et des démons tiers, ne permettent pas une configuration correcte de l'audit pour les ouvertures de session utilisateur. - - Le système d'audit des événements permet la génération d'enregistrements - détaillés de l'activité du système: - sur un système occupé, un fichier journal d'audit + détaillés de l'activité du système. + Sur un système occupé, un fichier journal d'audit peut être très important quand le système est configuré pour un haut niveau de détail, dépassant plusieurs gigaoctets par semaine sur certaines @@ -124,7 +118,7 @@ requirements. --> avec les configurations d'audit à haut niveau de détail. Par exemple, il peut être recommandé de dédier un système de fichiers - à l'arborescence /var/audit de + à /var/audit de manière à ce que les autres systèmes de fichiers ne soient pas affectés si le système de fichiers pour les audits est plein. @@ -132,10 +126,10 @@ requirements. --> - Mots-clés utilisés dans ce chapitre + Mots-clés - Avant de lire ce chapitre, quelques termes relatifs à - l'audit doivent être explicités: + Les termes suivants sont relatifs à + l'audit des événements: @@ -155,12 +149,11 @@ requirements. --> événements comme ceux qui apparaissent avant l'authentification durant le processus d'ouverture de session, tels que les tentatives avec un mauvais mot de passe, sont des - événement non-attribuables. + exemples d'événements non-attribuables. - classe: les classes - d'événement désignent à l'aide + classe: désigne à l'aide d'un nom particulier des ensembles d'événements en rapport les uns avec les autres et sont utilisées dans les expressions de @@ -173,8 +166,8 @@ requirements. --> - enregistrement: un enregistrement - est une entrée du fichier de trace d'audit + enregistrement: + une entrée du fichier de trace d'audit décrivant un événement relatif à la sécurité. Les enregistrements contiennent le type d'événement, des informations sur @@ -185,11 +178,11 @@ requirements. --> - trace d'audit: une trace d'audit, - ou fichier journal, consiste en une série + trace d'audit: un + fichier journal consistant en une série d'enregistrements décrivant les événements relatifs à la - sécurité. Généralement ces traces + sécurité. Les traces sont organisées de manière chronologiques par rapport à l'horaire de fin des événements. Seuls les processus @@ -199,7 +192,7 @@ requirements. --> expression de sélection: une - expression de sélection est une chaîne de + chaîne de caractères contenant une liste de préfixes et de classes d'événement d'audit utilisés pour désigner des événements. @@ -208,10 +201,8 @@ requirements. --> préselection: le processus par lequel le système identifie quels - événements intéressent l'administrateur - afin d'éviter la génération - d'enregistrements d'audit sans intérêt pour - l'administrateur. La configuration de la + événements intéressent l'administrateur. + La configuration de la présélection utilise une série d'expressions de sélection pour déterminer quelles classes d'événement sont à @@ -239,96 +230,27 @@ requirements. --> - - Installation du support pour les audits - - Le support pour l'audit des événements est - installé avec le système de base de &os;. Sous - &os; 7.0 et versions ultérieures, le support pour - les audits est présent par défaut dans le noyau. - Sous &os; 6.X, ce support doit être - compilé dans le noyau en ajoutant la ligne suivante au - fichier de configuration du noyau: - - options AUDIT - - Recompilez et réinstallez le noyau en suivant le - processus classique expliqué dans le . - - Une fois que le noyau supportant les audits a été compilé, - installé, et que le système a été - redémarré, activez le démon - d'audit en ajoutant la ligne suivante au fichier - &man.rc.conf.5;: - - auditd_enable="YES" - - Le support pour les audits peut alors être - lancé par un redémarrage de la machine ou - manuellement en lançant le démon - d'audit: - - /etc/rc.d/auditd start - - Configuration de l'audit - Tous les fichiers de configuration de l'audit - d'événements en rapport avec la - sécurité se trouvent dans le répertoire - /etc/security. Les - fichiers suivants doivent être présents avant le - lancement du démon d'audit: - - - - audit_class - contient les - définitions des classes d'audit. - - - - audit_control - contrôle les - caractéristiques du système d'audit comme les - classes d'audit par défaut, l'espace disque minimal - à conserver sur le volume réservé aux - journaux, la taille maximale des traces d'audit, etc. - + Le support pour l'audit des événements est installé avec le + système de base de &os;. Le support présent dans le noyau + GENERIC par défaut, et &man.auditd.8; peut + être activé en ajoutant la ligne suivante au fichier + /etc/rc.conf: - - audit_event - les noms et la - description des événements systèmes - audités ainsi qu'une liste de classes auxquelles - appartiennent chaque événement. - + auditd_enable="YES" - - audit_user - les classes - d'événement à auditer pour des - utilisateurs spécifiques, qui s'ajoutent aux - paramètres généraux fixés par - défaut à l'ouverture de session. - + Puis, le daemon d'audit peut être lancé: - - audit_warn - une procédure - modifiable utilisée par - auditd pour générer - des messages d'alerte lors des situations exceptionnelles - comme un espace disque faible pour les fichiers journaux - d'audit ou quand il y a eu rotation de ces fichiers - journaux. - - + &prompt.root; service auditd start - - Les fichiers de configuration de l'audit devraient - être modifiés et gérés avec prudence - étant donné que des erreurs dans la configuration - pourraient donner lieu à un enregistrement incorrect des - événements. - + Les utilisateurs préférant compiler un noyau sur mesure + doivent ajouter la ligne suivante dans le fichier de + configuration du noyau: + options AUDIT + Expressions de sélection des événements @@ -338,243 +260,329 @@ requirements. --> système d'audit pour déterminer quels événements doivent être suivis. Les expressions contiennent une liste de classes - d'événements, chacune avec un préfixe - indiquant si les enregistrements correspondants doivent - être acceptés ou ignorés, et qui peut, de - manière optionnelle, indiquer si l'entrée se - limite aux opérations réussies ou aux - échecs. Les expressions de sélection sont + d'événements devant correspondre. + Les expressions de sélection sont évaluées de gauche à droite, et deux expressions sont combinées en ajoutant l'une à la suite de l'autre. - La liste suivante contient les classes - d'événements présentes par défaut - dans le fichier audit_class: - - - - all - all - (tout) - correspond à toutes les classes - d'événements. - - - - ad - - administrative (administration) - - actions d'administration du système. - - - - ap - - application - action définie - par l'application. - - - - cl - file - close (fermeture de fichiers) - enregistre les - utilisations de l'appel système - close. - - - - ex - exec - (exécution) - audite les exécutions de - programmes. L'audit des arguments en ligne de commande et - des variables d'environnement est contrôlé - par via &man.audit.control.5; en utilisant les - paramètres argv et - envv pour l'entrée - policy. - - - - fa - file attribute - access - enregistre l'accès aux - attributs des objets comme &man.stat.1;, &man.pathconf.2; - et les événements similaires. - - - - fc - file - create (création de fichiers) - enregistre les - événements ayant pour résultat la - création d'un fichier. - - - - fd - file - delete (suppression de fichiers) - enregistre - les événements pour lesquels une suppression - de fichier a lieu. - - - - fm - file attribute - modify (modification des attributs d'un - fichier) - enregistre les événements lors - desquels une modification des attributs d'un fichier - intervient, comme l'utilisation de &man.chown.8;, - &man.chflags.1;, &man.flock.2;, etc. - - - - fr - file read - (lecture de fichiers) - enregistre les - événements qui donnent lieu à la - lecture de données, l'ouverture de fichiers - à la lecture, etc. - - - - fw - file - write (écriture de fichiers) - - enregistre les événements qui donnent lieu - à l'écriture de données, à - l'écriture ou à la modification de fichiers, - etc. - - - - io - ioctl - - enregistre l'utilisation de l'appel système - &man.ioctl.2;. - - - - ip - ipc - - enregistre les différentes utilisations de - communication inter-processus, dont les utilisations des - tubes POSIX et les opérations - IPC Système V. - - - - lo - - login_logout (ouverture et fermeture - de session) - enregistre les ouvertures et fermeture de - session (&man.login.1; et &man.logout.1;) intervenant sur - le système. - - - - na - non - attributable (non-attribuable) - enregistre les - événements non-attribuables. - + résume les classes + d'événements présentes par défaut - - no - invalid - class (classe invalide) - ne correspond - à aucun des événements - surveillés. - + + Classes d'événements par défaut - - nt - network - (réseau) - enregistre les événements - relatifs au réseau, comme l'utilisation des - fonctions &man.connect.2; et &man.accept.2;. - - - - ot - other - (autre) - enregistre les événements - divers. - - - - pc - process - (processus) - enregistre les opérations sur les - processus, comme l'utilisation des fonctions &man.exec.3; - et &man.exit.3;. - - + + + + Classe + Description + Action + + + + + + all + tout + correspond à toutes les classes + d'événements. + + + + aa + authentification et autorisation + + + + + ad + administration + Actions d'administration du système. + + + + ap + application + Action définie par l'application. + + + + cl + fermeture de fichiers + Enregistre les utilisations de l'appel système + close. + + + + ex + exécution + Enregistre les exécutions de programmes. L'audit + des arguments en ligne de commande et des variables + d'environnement est contrôlé par via + &man.audit.control.5; en utilisant les paramètres + argv et envv + pour l'entrée policy. + + + + fa + accès à aux attributs des fichiers + Audit the access of object attributes such as + &man.stat.1; and &man.pathconf.2;. + enregistre l'accès aux attributs des objets comme + &man.stat.1;, &man.pathconf.2;. + + + + fc + création de fichiers + Enregistre les événements ayant pour résultat la + création d'un fichier. + + + + fd + suppression de fichiers + Enregistre les événements pour lesquels une + suppression de fichier a lieu. + + + + fm + modification des attributs d'un fichier + Enregistre les événements lors desquels une + modification des attributs d'un fichier intervient, + comme l'utilisation de &man.chown.8;, + &man.chflags.1;, et &man.flock.2;. + + + + fr + lecture de fichiers + Enregistre les événements qui donnent lieu + à la lecture de données, l'ouverture de + fichiers pour la lecture. + + + + fw + écriture de fichiers + Enregistre les événements qui donnent lieu + à l'écriture de données ou à l'écriture ou + la modification de fichiers. + + + + io + ioctl + Enregistre l'utilisation de l'appel système + ioctl. + + + + ip + ipc + Enregistre les différentes utilisations de + communication inter-processus, dont les utilisations + des tubes POSIX et les opérations + IPC Système V. + + + + lo + login_logout + Enregistre les ouvertures et fermeture de session + (&man.login.1; et &man.logout.1;). + + + + na + non attributable + Enregistre les événements non-attribuables. + + + + no + classe invalide + Ne correspond à aucun des événements + surveillés. + + + + nt + réseau + Enregistre les événements relatifs au réseau, + comme l'utilisation des fonctions &man.connect.2; et + &man.accept.2;. + + + + ot + autre + Enregistre les événements divers. + + + + pc + processus + Enregistre les opérations sur les processus, + comme l'utilisation des fonctions &man.exec.3; et + &man.exit.3;. + + + +
Ces classes d'événement peuvent être personnalisées en modifiant les fichiers de configuration audit_class et audit_event. - Chaque classe d'audit dans la liste est combinée + Chaque classe d'audit peut être combinée avec un préfixe indiquant si les opérations réussies/échouées sont sélectionnées, et si l'entrée ajoute ou supprime une sélection pour la classe ou le type - concerné. + concerné. résume les + préfixes disponibles. - - - (rien) enregistre les succès et les - échecs de l'événement. - + + Prefixes pour les classes d'audit + + + + + Prefixe + Action + + + + + + + + Enregistre les événements réussis de cette + classe. + + + + - + Enregistre les événements de cette classe qui ont + échoué. + + + + ^ + N'enregistre ni les événements réussis ni les + échecs de cette classe. + + + + ^+ + Ne pas enregistrer les événements réussis de + cette classe. + + + + ^- + Ne pas enregistrer les événements de cette classe + qui ont échoué. + + + +
+ + Si aucun préfixe n'est présent, les succès et le échecs de + l'événement seront enregistrés. + + L'exemple suivant d'expression de sélection permet + la sélection des ouvertures et fermetures de session + réussies ou échouées, et uniquement les + exécutions ayant réussies: + lo,+ex + + + + Fichiers de configuration + + Les fichiers de configuration suivants pour l'audit + d'événements en rapport avec la + sécurité se trouvent dans le répertoire + /etc/security. + + - + enregistre les - événements réussis de cette - classe. + audit_class: contient les + définitions des classes d'audit. - - enregistre les - événements de cette classe qui ont - échoué. + audit_control: contrôle les + caractéristiques du système d'audit comme les + classes d'audit par défaut, l'espace disque minimal + à conserver sur le volume réservé aux + journaux, la taille maximale des traces d'audit. - ^ n'enregistre ni les - événements réussis ni les échecs - de cette classe. + audit_event: les noms et la + description des événements systèmes + audités ainsi qu'une liste de classes auxquelles + appartiennent chaque événement. - ^+ ne pas enregistrer les - événements réussis de cette - classe. + audit_user: les classes + d'événement à auditer pour des + utilisateurs spécifiques, qui s'ajoutent aux + paramètres généraux fixés par + défaut à l'ouverture de session. - ^- ne pas enregistrer les - événements de cette classe qui ont - échoué. + audit_warn: une procédure + modifiable utilisée par + &man.auditd.8; pour générer + des messages d'alerte lors des situations exceptionnelles + comme un espace disque faible pour les fichiers journaux + d'audit ou quand il y a eu rotation de ces fichiers + journaux. - L'exemple suivant d'expression de sélection permet - la sélection des ouvertures et fermetures de session - réussies ou échouées, et uniquement les - exécutions ayant réussies: - - lo,+ex - + + Les fichiers de configuration de l'audit devraient + être modifiés et gérés avec prudence + étant donné que des erreurs dans la configuration + pourraient donner lieu à un enregistrement incorrect des + événements. + - - Fichiers de configuration Dans la plupart des cas, les administrateurs ne devront - modifier que deux fichiers lors de la configuration du - système d'audit: audit_control et + modifier que audit_control et audit_user. Le premier contrôle les propriétés et les stratégies au - niveau du système; le second peut être + niveau du système et le second peut être utilisé pour affiner l'audit pour chaque utilisateur. Le fichier <filename>audit_control</filename> - Le fichier audit_control fixe un - certain nombre de paramètres par défaut pour - le système d'audit. Le contenu de ce fichier - ressemble à ce qui suit: + Un certain nombre de paramètres par défaut pour le + système d'audit sont spécifiés dans le fichier + audit_control: dir:/var/audit -flags:lo -minfree:20 -naflags:lo -policy:cnt -filesz:0 +dist:off +flags:lo,aa +minfree:5 +naflags:lo,aa +policy:cnt,argv +filesz:2M +expire-after:10M L'option dir est utilisée pour déclarer un ou plusieurs répertoires dans @@ -589,26 +597,29 @@ filesz:0 d'autres systèmes si le système de fichiers est plein. + Si le champ est fixé à + on ou yes, des liens + matériel seront créés pour tous les fichiers de trace + d'audit de /var/audit/dist. + Le champ flags fixe le masque général de présélection utilisé par défaut pour les événements attribuables. Dans l'exemple ci-dessus, les ouvertures et fermetures de sessions - réussies ou échouées sont + réussies ou échouées ainsi que les authentifications et + autorisations sont enregistrées pour tous les utilisateurs. L'option minfree définit le pourcentage minimal d'espace libre du système de - fichiers sur lequel les traces d'audit sont stockées. - Si cette limite est dépassée, un avertissement - sera généré. L'exemple ci-dessus fixe - l'espace minimal à vingt pourcent. + fichiers sur lequel les traces d'audit sont stockées. L'entrée naflags indique les classes à surveiller pour les événements non-attribués, comme les - processus d'ouverture de session et les - démons système. + processus d'ouverture et de fermeture de session et les + authentifications et autorisations. L'entrée policy donne une liste d'indicateurs de stratégie contrôlant @@ -617,9 +628,8 @@ filesz:0 cnt indique que le système devrait continuer à fonctionner en dépit d'un échec dans l'audit (l'emploi de cet indicateur est - hautement recommandé). Un autre indicateur - généralement utilisé est - argv, qui provoque l'audit des arguments + hautement recommandé). L'autre indicateur + argv, provoque l'audit des arguments passés à l'appel système &man.execve.2; lors de l'audit de l'exécution des commandes. @@ -627,39 +637,42 @@ filesz:0 taille maximale en octets autorisée pour un fichier de trace avant qu'il soit interrompu et que le système provoque sa rotation. La valeur par - défaut, 0, désactive la rotation automatique - des journaux. Si la taille de fichier est différente - de zéro mais inférieure à 512K, elle + défaut, 0, désactive la rotation automatique + des journaux. Si la taille de fichier est + inférieure à 512K, elle sera ignorée et un message sera généré. + + Le champ indique quand un + fichier de trace expirera et sera supprimé. Le fichier <filename>audit_user</filename> - Le fichier audit_user permet - à l'administrateur de préciser des conditions - supplémentaires d'audit pour des utilisateurs - spécifiques. Chaque ligne paramètre l'audit + L'administrateur peut spécifier des exigences + supplémentaires qu niveau de l'audit pour des utilisateurs + spécifiques dans le fichier audit_user. + Chaque ligne paramètre l'audit pour un utilisateur par l'intermédiaire de deux - champs: le premier est le champ + champs: le champ alwaysaudit, qui indique l'ensemble des événements qui devraient toujours être - surveillés pour l'utilisateur, le deuxième + surveillés pour l'utilisateur, le champ, neveraudit, indique un ensemble d'événements qui ne devrait jamais être audité pour cet utilisateur. - L'exemple suivant de fichier - audit_user permet le suivi des + L'exemple suivant d'entrées + permet le suivi des ouvertures et fermetures de sessions et l'exécution de commandes avec succès de l'utilisateur root, et audite la création de fichiers et l'exécution de commandes avec succès pour l'utilisateur www. - Si ce fichier est utilisé avec l'exemple - précédent de fichier - audit_control, l'entrée + Si utilisé avec le + fichier + audit_control par défaut, l'entrée lo pour root est redondante, et les événements relatifs aux ouvertures et aux fermetures de sessions seront @@ -673,45 +686,40 @@ www:fc,+ex:no - Administration du système d'audit - - - Consultation des traces d'audit + Travailler avec les traces d'audit - Les traces d'audit sont stockées sous le format - binaire BSM (Basic Security Module), aussi il - sera nécessaire d'utiliser des outils pour modifier ou - convertir en texte les fichiers de trace. La commande - &man.praudit.1; convertit les fichiers de trace en simple - texte; la commande &man.auditreduce.1; peut être - utilisée pour réduire le fichier de trace en vue - d'une analyse, d'un archivage, ou d'une impression. La - commande auditreduce supporte une - variété de paramètres de - sélection, parmi lesquels le type - d'événement, la classe de - l'événement, l'utilisateur, la date ou l'heure - de l'événement, et le chemin d'accès ou - l'objet sur lequel on agit. + Etant donné que les traces d'audit sont stockées sous le format + binaire BSM (Basic Security Module), + plusieurs outils sont disponibles pour modifier ou convertir + en texte ces fichiers de trace. + Pour convertir les fichiers de trace en en texte simple, + utiliser la commande praudit. + Pour réduire le fichier de trace en vue + d'une analyse, d'un archivage, ou d'une impression, utiliser + la commande auditreduce. Cet utilitaire + supporte une variété de paramètres de sélection, parmi + lesquels le type d'événement, la classe de l'événement, + l'utilisateur, la date ou l'heure de l'événement, et le chemin + d'accès ou l'objet sur lequel on agit. - Par exemple, l'utilitaire praudit - affichera sous forme de texte brut l'intégralité + Par exemple, pour afficher + sous forme de texte brut l'intégralité du contenu du fichier journal d'audit précisé: - &prompt.root; praudit /var/audit/AUDITFILE + &prompt.root; praudit /var/audit/AUDITFILE Où - AUDITFILE est + AUDITFILE est le journal à afficher. Les traces d'audit consistent en une série d'enregistrements constitués de champs que la commande praudit affiche de manière séquentielle, un par ligne. Chaque champ est - spécifique, comme header contenant - l'entête de l'enregistrement, ou path - contenant le chemin d'accès. Ce qui suit est un + spécifique, comme header + (l'entête de l'enregistrement), ou path + (le chemin d'accès). Ce qui suit est un exemple d'événement execve: @@ -725,90 +733,71 @@ trailer,133 Cet audit représente un appel réussi à execve, lors de l'exécution - de la commande finger doug. Le champ pour - les arguments contient la ligne de commande + de la commande finger doug. Le champ + exec arg contient la ligne de commande présentée par l'interpréteur de commandes au noyau. Le champ path contient le chemin d'accès à l'exécutable comme le voit le noyau. Le champ attribute décrit le - binaire, et en particulier, précise les permissions sur - le fichier qui permettent de déterminer si - l'application avait les permissions setuid. Le - champ subject décrit le sujet de - l'audit, et conserve sous la forme d'une séquence - l'identifiant (ID) de l'utilisateur audité, les + binaire et précise les permissions sur le fichier. Le champ + subject conserve l'identifiant (ID) de + l'utilisateur audité, les identifiants groupe et utilisateur effectifs, les identifiants groupe et utilisateur réels, l'ID du processus, l'ID de la session, l'ID du port, et l'adresse correspondant à la session. Notez que l'ID de l'utilisateur pour l'audit - diffère de l'ID réel de l'utilisateur: + diffère de l'ID réel de l'utilisateur étant donné que l'utilisateur robert est passé en root avant l'exécution de la commande, mais l'audit se fait par rapport à - l'utilisateur authentifié original. Et enfin, le champ + l'utilisateur authentifié original. Le champ return indique la réussite de - l'exécution, et le champ trailer + l'exécution et le champ trailer termine l'enregistrement. - Sous &os; 6.3 et versions suivantes, - praudit supporte également un format - de sortie XML, qui peut être sélectionné - en utilisant l'argument . - - - - Réduction des traces d'audit + Le format de sortie XML est également *** DIFF OUTPUT TRUNCATED AT 1000 LINES ***