Date: Fri, 14 Aug 2015 15:04:49 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r47224 - head/de_DE.ISO8859-1/books/handbook/audit Message-ID: <201508141504.t7EF4nJ1092686@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Fri Aug 14 15:04:49 2015 New Revision: 47224 URL: https://svnweb.freebsd.org/changeset/doc/47224 Log: Update to r44377: Editorial review of first 1/2 of Security Event Auditing. Add 2 tables. Still need to research additional entries which are not described in this section. More commits to come. Approved by: bcr (mentor) Modified: head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Fri Aug 14 11:19:43 2015 (r47223) +++ head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Fri Aug 14 15:04:49 2015 (r47224) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/audit/chapter.xml,v 1.14 2012/02/16 20:28:26 bcr Exp $ - basiert auf: r44231 + basiert auf: r44377 --> <!-- Need more documentation on praudit, auditreduce, etc. Plus more info on the triggers from the kernel (log rotation, out of space, etc). @@ -35,19 +35,18 @@ requirements. --> <see>MAC</see> </indexterm> - <para>Das &os;-Betriebssystem unterstützt - ein feingranuliertes Sicherheits-Auditing. - Ereignis-Auditing erlaubt die - zuverlässige, feingranulierte und konfigurierbare - Aufzeichnung einer Vielzahl von sicherheitsrelevanten - Systemereignissen einschliesslich Benutzereingaben, - Konfigurationsänderungen sowie Datei- und + <para>&os; bietet Unterstützung für Sicherheits-Auditing. + Ereignis-Auditing bietet zuverlässige, feingranulierte und + konfigurierbare Aufzeichnung einer Vielzahl von + sicherheitsrelevanten Systemereignissen einschliesslich + Benutzereingaben, Konfigurationsänderungen sowie Datei- und Netzwerkzugriffen. Diese Log-Datensätze können unschätzbar wertvoll sein für direkte Systemüberwachung, Einbruchserkennung und Post-Mortem-Analyse. &os; implementiert &sun;s öffentlich - zugängliche <acronym>BSM</acronym> API und Dateiformat. Die - &os;-Implementierung kann mit den Audit-Implementierungen von + zugängliches Basic Security Module (<acronym>BSM</acronym>) + Application Programming Interface (<acronym>API</acronym>) und + Dateiformat, und kann mit den Audit-Implementierungen von &sun; &solaris; und &apple; &macos; X zusammenarbeiten.</para> <para>Dieses Kapitel konzentriert sich auf die Installation @@ -60,7 +59,8 @@ requirements. --> <itemizedlist> <listitem> - <para>Was Ereignis-Auditing ist und wie es arbeitet.</para> + <para>Was Ereignis-Auditing ist und wie es + funktioniert.</para> </listitem> <listitem> @@ -94,13 +94,14 @@ requirements. --> </itemizedlist> <warning> - <para>Die Audit-Funktionalität in &os; besitzt die - Einschränkungen, dass zur Zeit nicht alle - sicherheitsrelevanten System-Ereignisse auditierbar sind und - dass einige Anmelde-Mechanismen, wie z.B. X11-basierte - Bildschirm-Manager und Daemonen von Drittanbietern, das - Auditing für Benutzeranmeldungen nicht korrekt - konfigurieren.</para> + <para>Die Audit-Funktionalität in &os; hat einige bekannte + Einschränkungen. Nicht alle sicherheitsrelevanten + System-Ereignisse sind auditierbar, und einige + Anmelde-Mechanismen, wie beispielsweise + <application>Xorg</application>-basierte + Bildschirm-Manager und Dienste von Drittanbietern, + konfigurieren das Auditing für Benutzeranmeldungen nicht + korrekt.</para> <para>Das Sicherheits-Auditing ist in der Lage, sehr detaillierte Log-Dateien von Systemaktivitäten zu erzeugen. @@ -110,8 +111,7 @@ requirements. --> Administratoren sollten daher den benötigten Plattenplatz in Verbindung mit umfangreichen Audit-Konfigurationen berücksichtigen. So kann es wünschenswert sein, ein eigenes - Dateisystem für <filename - class="directory">/var/audit</filename> einzusetzen, damit + Dateisystem für <filename>/var/audit</filename> einzusetzen, damit andere Dateisysteme nicht betoffen sind, wenn das Dateisystem des Audit voll läuft.</para> </warning> @@ -120,30 +120,28 @@ requirements. --> <sect1 xml:id="audit-inline-glossary"> <title>Schlüsselbegriffe</title> - <para>Vor dem Lesen dieses Kapitels müssen einige - Audit-bezogene Schlüsselbegriffe erläutert - werden:</para> + <para>Die folgenden Begriffe stehen im Zusammenhang mit + Ereignis-Auditing:</para> <itemizedlist> <listitem> - <para><emphasis>event</emphasis>: Ein auditierbares Ereignis - ist ein Ereignis, das mit dem Audit-Subsystem + <para><emphasis>event</emphasis>: ein auditierbares Ereignis + ist jedes Ereignis, das mit dem Audit-Subsystem aufgezeichnet werden kann. Beispiele für sicherheitsrelevante Systemereignisse sind etwa das Anlegen von Dateien, das Erstellen einer Netzwerkverbindung oder eine Benutzeranmeldung. Ereignisse sind entweder <quote>attributierbar</quote>, können also zu einen authentifizierten Benutzer zurückverfolgt werden, oder - sind <quote>nicht-attributierbar</quote>, falls dies nicht - möglich ist. Nicht-attributierbare Ereignisse erfolgen + sind <quote>nicht-attributierbar</quote>. Nicht-attributierbare Ereignisse erfolgen daher vor der Authentifizierung im Anmeldeprozess (beispielsweise die Eingabe eines falschen Passworts).</para> </listitem> <listitem> - <para><emphasis>class</emphasis>: Ereignisklassen sind - benannte Zusammenstellungen von zusammengehörenden - Ereignissen und werden in Auswahl-Ausdrücken benutzt. + <para><emphasis>class</emphasis>: benannte Zusammenstellungen + von zusammengehörenden Ereignissen, die in + Auswahl-Ausdrücken benutzt werden. Häufig genutzte Klassen von Ereignissen schließen <quote>file creation</quote> (fc, Anlegen von Dateien), <quote>exec</quote> (ex, Ausführung) und @@ -152,8 +150,8 @@ requirements. --> </listitem> <listitem> - <para><emphasis>record</emphasis>: Ein Datensatz ist ein - Audit-Logeintrag, welcher ein Sicherheitsereignis + <para><emphasis>record</emphasis>: ein + Audit-Logeintrag, der ein Sicherheitsereignis enthält. Jeder Datensatz enthält einen Ereignistyp, Informationen über den Gegenstand (Benutzer), welcher die Aktion durchführt, Datums- und @@ -163,10 +161,9 @@ requirements. --> </listitem> <listitem> - <para><emphasis>trail</emphasis>: Ein Audit-Pfad (audit - trail) oder eine Log-Datei besteht aus einer Reihe von + <para><emphasis>trail</emphasis>: eine Log-Datei bestehend aus einer Reihe von Audit-Datensätzen, die Sicherheitsereignisse - beschreiben. Normalerweise sind die Pfade in grober + beschreiben. Pfade sind in grober zeitlicher Reihenfolge bezüglich des Zeitpunktes, an welchem ein Ereignis beendet wurde. Nur authorisierte Prozesse dürfen Datensätze zum Audit-Pfad @@ -174,15 +171,15 @@ requirements. --> </listitem> <listitem> - <para><emphasis>selection expression</emphasis>: Ein - Auswahlausdruck ist eine Zeichenkette, welche eine Liste von + <para><emphasis>selection expression</emphasis>: eine + Zeichenkette, welche eine Liste von Präfixen und Audit-Ereignisklassennamen enthält, um Ereignisse abzugleichen.</para> </listitem> <listitem> - <para><emphasis>preselection</emphasis>: Die Vorauswahl ist - der Prozess, durch den das System erkennt, welche Ereignisse + <para><emphasis>preselection</emphasis>: der Prozess, durch + den das System erkennt, welche Ereignisse von Interesse für den Administrator sind, um die Erzeugung von Datensätze zu verhindern, welche nicht von Belang sind. Die Konfiguration der Vorauswahl benutzt @@ -210,86 +207,25 @@ requirements. --> </itemizedlist> </sect1> - <sect1 xml:id="audit-install"> - <title>Installation der Audit-Unterstützung</title> - - <para>Die Unterstützung des Ereignis-Auditings für den - Benutzerbereich wird bereits als Teil des Basissystems installiert. - Die Audit-Unterstützung ist bereits im &os;-Standardkernel - enthalten, jedoch müssen Sie die folgende Zeile explizit in - Ihre Kernelkonfigurationsdatei aufnehmen und den Kernel neu bauen:</para> - - <programlisting>options AUDIT</programlisting> - - <para>Bauen und installieren Sie den Kernel wie in - <xref linkend="kernelconfig"/> beschrieben ist.</para> - - <para>Nachdem der Kernel mit Audit-Unterstützung - gebaut und installiert ist und das System neu gestartet wurde, - aktivieren Sie den Audit-Daemon - durch das Einfügen der folgenden Zeile in die Datei - &man.rc.conf.5;:</para> - - <programlisting>auditd_enable="YES"</programlisting> - - <para>Die Audit-Unterstützung kann nun durch einen - Neustart des Systems oder durch das manuelle Starten - des Audit-Daemon aktiviert werden:</para> - - <programlisting>service auditd start</programlisting> - </sect1> - <sect1 xml:id="audit-config"> - <title>Die Konfiguration des Audit</title> - - <para>Alle Konfigurationsdateien für das Sicherheits-Audit - finden sich unter - <filename>/etc/security</filename>. - Die folgenden Dateien müssen vorhanden sein, bevor - der Audit-Daemon gestartet wird:</para> - - <itemizedlist> - <listitem> - <para><filename>audit_class</filename> – Enthält - die Definitionen der Audit-Klassen.</para> - </listitem> - - <listitem> - <para><filename>audit_control</filename> – Steuert - Teile des Audit-Subsystems wie Audit-Klassen, minimaler - Plattenplatz auf dem Audit-Log-Datenträger, maximale - Größe des Audit-Pfades usw.</para> - </listitem> + <title>Audit Konfiguration</title> - <listitem> - <para><filename>audit_event</filename> – Wörtliche - Namen und Beschreibungen von System-Audit-Ereignissen sowie - eine Liste, welche Klassen welches Ereignis - aufzeichnen.</para> - </listitem> + <para>Userspace-Untersützung für Ereignis-Auditing ist Bestandteil + des &os;-Betriebssystems. Kernel-Unterstützung kann durch + Hinzufügen der folgenden Zeile in + <filename>/etc/rc.conf</filename> aktiviert werden:</para> - <listitem> - <para><filename>audit_user</filename> – Benutzerspezifische - Audit-Erfordernisse, welche mit den globalen Vorgaben bei - der Anmeldung kombiniert werden.</para> - </listitem> + <programlisting>auditd_enable="YES"</programlisting> - <listitem> - <para><filename>audit_warn</filename> – Ein - anpassbares Shell-Skript, welches von - <application>auditd</application> benutzt wird, um - Warnhinweise in aussergewöhnlichen Situationen zu - erzeugen, z.B. wenn der Platz für die - Audit-Datensätze knapp wird oder wenn die Datei des - Audit-Pfades rotiert wurde.</para> - </listitem> - </itemizedlist> + <para>Starten Sie anschließend den Audit-Daemon:</para> + + <screen>&prompt.root; <userinput>service auditd start</userinput></screen> + + <para>Benutzer, die es bevorzugen einen angepassten Kernel zu + kompilieren, müssen folgende Zeile in die + Kernelkonfigurationsdatei aufnehmen:</para> - <warning> - <para>Audit-Konfigurationsdateien sollten vorsichtig gewartet und - bearbeitet werden, da Fehler in der Konfiguration zu falscher - Aufzeichnung von Ereignissen führen könnten.</para> - </warning> + <programlisting>options AUDIT</programlisting> <sect2> <title>Ereignis-Auswahlausdrücke</title> @@ -306,193 +242,284 @@ requirements. --> rechts ausgewertet und zwei Ausdrücke werden durch Aneinanderhängen miteinander kombiniert.</para> - <para>Die folgende Liste enthält die - Standard-Ereignisklassen für das Audit und ist in - <filename>audit_class</filename> festgehalten:</para> - - <itemizedlist> - <listitem> - <para><literal>all</literal> – <emphasis>all</emphasis> – Vergleiche - alle Ereignisklassen.</para> - </listitem> - - <listitem> - <para><literal>ad</literal> – <emphasis>administrative</emphasis> – Administrative - Aktionen ausgeführt auf dem System als Ganzes.</para> - </listitem> - - <listitem> - <para><literal>ap</literal> – <emphasis>application</emphasis> – Aktionen - definiert für Applikationen.</para> - </listitem> - - <listitem> - <para><literal>cl</literal> – <emphasis>file - close</emphasis> – Audit-Aufrufe für - den Systemaufruf <function>close</function>.</para> - </listitem> - - <listitem> - <para><literal>ex</literal> – <emphasis>exec</emphasis> – Ausführung - des Audit-Programms. Auditierung von - Befehlszeilen-Argumenten und Umgebungsvariablen wird - gesteuert durch &man.audit.control.5; mittels der - <literal>argv</literal> und - <literal>envv</literal>-Parametergemäss der - <literal>Richtlinien</literal>-Einstellungen.</para> - </listitem> - - <listitem> - <para><literal>fa</literal> – <emphasis>file - attribute access</emphasis> – Auditierung - des Zugriffs auf Objektattribute wie &man.stat.1;, - &man.pathconf.2; und ähnlichen Ereignissen.</para> - </listitem> - - <listitem> - <para><literal>fc</literal> – <emphasis>file - create</emphasis> – Audit-Ereignisse, - bei denen eine Datei als Ergebnis angelegt wird.</para> - </listitem> - - <listitem> - <para><literal>fd</literal> – <emphasis>file - delete</emphasis> – Audit-Ereignisse, - bei denen Dateilöschungen vorkommen.</para> - </listitem> - - <listitem> - <para><literal>fm</literal> – <emphasis>file - attribute modify</emphasis> – Audit-Ereignisse, - bei welchen Dateiattribute geändert werden, wie - &man.chown.8;, &man.chflags.1;, &man.flock.2; etc.</para> - </listitem> - - <listitem> - <para><literal>fr</literal> – <emphasis>file - read</emphasis> – Audit-Ereignisse, bei - denen Daten gelesen oder Dateien zum lesen geöffnet - werden usw.</para> - </listitem> - - <listitem> - <para><literal>fw</literal> – <emphasis>file write</emphasis> – Audit-Ereignisse, - bei welchen Daten geschrieben oder Dateien geschrieben - oder verändert werden usw.</para> - </listitem> - - <listitem> - <para><literal>io</literal> – <emphasis>ioctl</emphasis> – Nutzung - des Systemaufrufes &man.ioctl.2; durch Audit.</para> - </listitem> - - <listitem> - <para><literal>ip</literal> – <emphasis>ipc</emphasis> – Auditierung - verschiedener Formen von Inter-Prozess-Kommunikation - einschliesslich POSIX-Pipes und System V - <acronym>IPC</acronym>-Operationen.</para> - </listitem> - - <listitem> - <para><literal>lo</literal> – <emphasis>login_logout</emphasis> – Audit-Ereignisse - betreffend &man.login.1; und &man.logout.1;, welche auf - dem System auftreten.</para> - </listitem> - - <listitem> - <para><literal>na</literal> – <emphasis>non - attributable</emphasis> – Auditierung - nicht-attributierbarer Ereignisse (Ereignisse, die nicht auf - einen bestimmten Benutzer zurückgeführt werden - können).</para> - </listitem> - - <listitem> - <para><literal>no</literal> – <emphasis>invalid - class</emphasis> – Kein Abgleich von - Audit-Ereignissen.</para> - </listitem> - - <listitem> - <para><literal>nt</literal> – <emphasis>network</emphasis> – Audit-Ereignisse - in Zusammenhang mit Netzwerkaktivitäten wie - z.B. &man.connect.2; und &man.accept.2;.</para> - </listitem> + <para><xref linkend="event-selection"/> fasst die + Audit-Ereignisklassen zusammen:</para> - <listitem> - <para><literal>ot</literal> – <emphasis>other</emphasis> – Auditierung - verschiedener Ereignisse.</para> - </listitem> + <table xml:id="event-selection" frame="none" pgwide="1"> + <title>Audit-Ereignisklassen</title> - <listitem> - <para><literal>pc</literal> – <emphasis>process</emphasis> – Auditierung - von Prozess-Operationen wie &man.exec.3; und - &man.exit.3;.</para> - </listitem> - </itemizedlist> + <tgroup cols="3"> + <thead> + <row> + <entry>Name der Klasse</entry> + <entry>Beschreibung</entry> + <entry>Aktion</entry> + </row> + </thead> + + <tbody> + <row> + <entry>all</entry> + <entry>all</entry> + <entry>Vergleicht alle Ereisnisklassen.</entry> + </row> + + <row> + <entry>ad</entry> + <entry>administrative</entry> + <entry>Administrative Aktionen, ausgeführt auf dem System + als Ganzes.</entry> + </row> + + <row> + <entry>ap</entry> + <entry>application</entry> + <entry>Aktionen definiert für Applikationen.</entry> + </row> + + <row> + <entry>cl</entry> + <entry>file close</entry> + <entry>Audit-Aufrufe für den Systemaufruf + <function>close</function>.</entry> + </row> + + <row> + <entry>ex</entry> + <entry>exec</entry> + <entry>Ausführung des Audit-Programms. Auditierung von + Befehlszeilen-Argumenten und Umgebungsvariablen wird + gesteuert durch &man.audit.control.5; mittels der + <literal>argv</literal> und + <literal>envv</literal>-Parameter gemäß der + <literal>Richtlinien</literal>-Einstellungen.</entry> + </row> + + <row> + <entry>fa</entry> + <entry>file attribute access</entry> + <entry>Auditierung des Zugriffs auf Objektattribute wie + &man.stat.1; und &man.pathconf.2;.</entry> + </row> + + <row> + <entry>fc</entry> + <entry>file create</entry> + <entry>Audit-Ereignisse, bei denen eine Datei als + Ergebnis angelegt wird.</entry> + </row> + + <row> + <entry>fd</entry> + <entry>file delete</entry> + <entry>Audit-Ereignisse, bei denen Dateilöschungen + vorkommen.</entry> + </row> + + <row> + <entry>fm</entry> + <entry>file attribute modify</entry> + <entry>Audit-Ereignisse, bei denen Dateiattribute geändert + werden, wie &man.chown.8;, &man.chflags.1; und + &man.flock.2;.</entry> + </row> + + <row> + <entry>fr</entry> + <entry>file read</entry> + <entry>Audit-Ereignisse, bei denen Daten gelesen oder + Dateien zum lesen geöffnet werden.</entry> + </row> + + <row> + <entry>fw</entry> + <entry>file write</entry> + <entry>Audit-Ereignisse, bei denen Daten geschrieben oder + Dateien geschrieben oder verändert werden.</entry> + </row> + + <row> + <entry>io</entry> + <entry>ioctl</entry> + <entry>Nutzung des Systemaufrufes + <function>ioctl</function> durch Audit.</entry> + </row> + + <row> + <entry>ip</entry> + <entry>ipc</entry> + <entry>Auditierung verschiedener Formen von + Inter-Prozess-Kommunikation einschließlich POSIX-Pipes + und System V <acronym>IPC</acronym>-Operationen.</entry> + </row> + + <row> + <entry>lo</entry> + <entry>login_logout</entry> + <entry>Audit-Ereignisse von &man.login.1; und + &man.logout.1;.</entry> + </row> + + <row> + <entry>na</entry> + <entry>non attributable</entry> + <entry>Auditierung nicht-attributierbarer + Ereignisse.</entry> + </row> + + <row> + <entry>no</entry> + <entry>invalid class</entry> + <entry>Kein Abgleich von Audit-Ereignissen.</entry> + </row> + + <row> + <entry>nt</entry> + <entry>network</entry> + <entry>Audit-Ereignisse in Zusammenhang mit + Netzwerkaktivitäten wie &man.connect.2; und + &man.accept.2;</entry> + </row> + + <row> + <entry>ot</entry> + <entry>other</entry> + <entry>Auditierung verschiedener Ereignisse.</entry> + </row> + + <row> + <entry>pc</entry> + <entry>process</entry> + <entry>Auditierung von Prozess-Operationen wie + &man.exec.3; und &man.exit.3;.</entry> + </row> + </tbody> + </tgroup> + </table> <para>Diese Ereignisklassen können angepasst werden durch Modifizierung der Konfigurationsdateien <filename>audit_class</filename> und <filename>audit_event</filename>.</para> - <para>Jede Audit-Klasse in dieser Liste ist kombiniert mit + <para>Jede Audit-Klasse ist kombiniert mit einem Präfix, welches anzeigt, ob erfolgreiche/gescheiterte Operationen abgebildet werden, und ob der Eintrag den Abgleich hinzufügt oder entfernt - für die Klasse und den Typ.</para> + für die Klasse und den Typ. <xref linkend="event-prefixes"/> + fasst die verfügbaren Präfixe zusammen.</para> - <itemizedlist> - <listitem> - <para>(none) Kein Präfix, sowohl erfolgreiche als - auch gescheiterte Vorkommen eines Ereignisses werden - auditiert.</para> - </listitem> + <table xml:id="event-prefixes" frame="none" pgwide="1"> + <title>Präfixe für Audit-Ereignisklassen</title> + + <tgroup cols="2"> + <thead> + <row> + <entry>Präfix</entry> + <entry>Aktion</entry> + </row> + </thead> + + <tbody> + <row> + <entry>+</entry> + <entry>Auditiert erfolgreiche Ereignisse in dieser + Klasse.</entry> + </row> + + <row> + <entry>-</entry> + <entry>Auditiert fehlgeschlagene Ereignisse in dieser + Klasse.</entry> + </row> + + <row> + <entry>^</entry> + <entry>Auditiert weder erfolgreiche noch fehlgeschlagene + Ereignisse.</entry> + </row> + + <row> + <entry>^+</entry> + <entry>Auditiert keine erfolgreichen Ereignisse in dieser + Klasse.</entry> + </row> + + <row> + <entry>^-</entry> + <entry>Auditiert keine fehlgeschlagenen Ereignisse in + dieser Klasse.</entry> + </row> + </tbody> + </tgroup> + </table> + + <para>Wenn kein Präfix vorhanden ist, werden sowohl erfolgreiche + als auch fehlgeschlagene Ereignisse auditiert.</para> + + <para>Das folgende Beispiel einer Auswahl-Zeichenkette + wählt erfolgreiche und gescheiterte + Anmelde/Abmelde-Ereignisse aus, aber nur erfolgreich beendete + Ausführungs-Ereignisse:</para> + + <programlisting>lo,+ex</programlisting> + </sect2> + + <sect2> + <title>Konfigurationsdateien</title> + <para>Die folgenden Konfigurationsdateien für + Sicherheits-Auditing befinden sich in + <filename>/etc/security</filename>.</para> + + <itemizedlist> <listitem> - <para><literal>+</literal> Auditiere nur erfolgreiche - Ereignisse in dieser Klasse.</para> + <para><filename>audit_class</filename>: enthält die + Definitionen der Audit-Klassen.</para> </listitem> <listitem> - <para><literal>-</literal> Auditiere nur gescheiterte - Operationen in dieser Klasse.</para> + <para><filename>audit_control</filename>: steuert die + Eigenschaften des Audit-Subsystems, wie + Standard-Audit-Klassen, Mindestfestplattenspeicher auf + dem Audit-Log-Volume und die maximale Größe des + Audit-Trails.</para> </listitem> <listitem> - <para><literal>^</literal> Auditiere weder erfolgreiche - noch gescheiterte Ereignisse in dieser Klasse.</para> + <para><filename>audit_event</filename>: Namen und + Beschreibungen der Audit-Ereignisse, und eine Liste + von Klassen mit den dazugehörigen Ereignissen.</para> </listitem> <listitem> - <para><literal>^+</literal> Auditiere keine erfolgreichen - Ereignisse in dieser Klasse.</para> + <para><filename>audit_user</filename>: benutzerspezifische + Audit-Anforderungen, kombinierbar mit den globalen + Standardeinstellungen bei der Anmeldung.</para> </listitem> <listitem> - <para><literal>^-</literal> Auditiere keine gescheiterten - Ereignisse in dieser Klasse.</para> + <para><filename>audit_warn</filename>: ein anpassbares + Skript, das von &man.auditd.8; verwendet wird, um in + bestimmten Situationen Warnmeldungen zu generieren, + z.B. wenn der Platz für Audit-Protokolle knapp wird, oder + wenn die Datei des Audit-Trails rotiert wurde.</para> </listitem> </itemizedlist> - <para>Das folgende Beispiel einer Auswahl-Zeichenkette - wählt erfolgreiche und gescheiterte - Anmelde/Abmelde-Ereignisse aus, aber nur erfolgreich beendete - Ausführungs-Ereignisse:</para> - - <programlisting>lo,+ex</programlisting> - </sect2> - - <sect2> - <title>Konfigurationsdateien</title> + <warning> + <para>Konfigurationsdateien von Audit sollten sorgfältig + bearbeitet und gepflegt werden, da Fehler in der + Konfiguration zu einer fehlerhaften Protokollierung der + Ereignisse führen können.</para> + </warning> - <para>In den meisten Fällen müssen Administratoren - nur zwei Dateien ändern, wenn sie das Audit-System - konfigurieren: <filename>audit_control</filename> und - <filename>audit_user</filename>. Die erste Datei steuert - systemweite Audit-Eigenschaften und -Richtlinien; die zweite - Datei kann für die Feinanpassung der Auditierung von - Benutzern verwendet werden.</para> + <para>In den meisten Fällen werden Administratoren nur + <filename>audit_control</filename> und + <filename>audit_user</filename> änpassen müssen. Die erste + Datei steuert systemweite Audit-Eigenschaften, sowie + Richtlinien. Die zweite Datei kann für die Feinabstimmung bei + der Auditierung von Benutzern verwendet werden.</para> <sect3 xml:id="audit-auditcontrol"> <title>Die <filename>audit_control</filename>-Datei</title> @@ -501,11 +528,13 @@ requirements. --> Anzahl Vorgabewerte fest:</para> <programlisting>dir:/var/audit -flags:lo -minfree:20 -naflags:lo -policy:cnt -filesz:0</programlisting> +dist:off +flags:lo,aa +minfree:5 +naflags:lo,aa +policy:cnt,argv +filesz:2M +expire-after:10M</programlisting> <para>Die Option <option>dir</option> wird genutzt, um eines oder mehrere Verzeichnisse festzulegen, in welchen
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201508141504.t7EF4nJ1092686>