From owner-svn-doc-all@FreeBSD.ORG Wed Apr 16 17:18:23 2014 Return-Path: Delivered-To: svn-doc-all@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 687E5413; Wed, 16 Apr 2014 17:18:23 +0000 (UTC) Received: from svn.freebsd.org (svn.freebsd.org [IPv6:2001:1900:2254:2068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 53D4A1891; Wed, 16 Apr 2014 17:18:23 +0000 (UTC) Received: from svn.freebsd.org ([127.0.1.70]) by svn.freebsd.org (8.14.8/8.14.8) with ESMTP id s3GHIN2x030371; Wed, 16 Apr 2014 17:18:23 GMT (envelope-from taras@svn.freebsd.org) Received: (from taras@localhost) by svn.freebsd.org (8.14.8/8.14.8/Submit) id s3GHINHj030370; Wed, 16 Apr 2014 17:18:23 GMT (envelope-from taras@svn.freebsd.org) Message-Id: <201404161718.s3GHINHj030370@svn.freebsd.org> From: Taras Korenko Date: Wed, 16 Apr 2014 17:18:23 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r44580 - head/ru_RU.KOI8-R/books/handbook/audit X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Mailman-Approved-At: Wed, 16 Apr 2014 17:59:56 +0000 X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.17 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 16 Apr 2014 17:18:23 -0000 Author: taras Date: Wed Apr 16 17:18:22 2014 New Revision: 44580 URL: http://svnweb.freebsd.org/changeset/doc/44580 Log: MFen: + books/handbook/audit/chapter.xml r43688 --> r44395 Modified: head/ru_RU.KOI8-R/books/handbook/audit/chapter.xml Modified: head/ru_RU.KOI8-R/books/handbook/audit/chapter.xml ============================================================================== --- head/ru_RU.KOI8-R/books/handbook/audit/chapter.xml Wed Apr 16 17:12:25 2014 (r44579) +++ head/ru_RU.KOI8-R/books/handbook/audit/chapter.xml Wed Apr 16 17:18:22 2014 (r44580) @@ -5,7 +5,7 @@ $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/audit/chapter.xml,v 1.10 2007/06/26 08:38:00 den Exp $ $FreeBSD$ - Original revision: r43688 + Original revision: r44395 --> + xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" + xml:id="audit"> Аудит событий безопасности - - Tom - Rhodes - - Автор + + Tom + Rhodes + + Автор - - Robert - Watson - - - - - - - Денис - Баров - - Перевод на русский язык: - - - - Владимир - Романов - - Обновление перевода: + + Robert + Watson + @@ -57,20 +41,23 @@ requirements. --> Аудит событий безопасности MAC - Операционная система &os; включает в себя поддержку аудита - событий безопасности. Аудит событий дает надежный и точный способ - для протоколирования различных событий, связанных с безопасностью, + Операционная система &os; включает в себя поддержку аудита + событий безопасности. Аудит позволяет выполнять надежное, + детальное и гибко настраиваемое протоколирование + различных событий, связанных с безопасностью, включая входы в систему, изменения конфигурации, доступ к файлам и сети. Эти записи могут быть незаменимы для мониторинга функционирующей системы, обнаружения вторжений и для анализа событий, приведших к краху системы. - В &os; реализован опубликованный &sun; BSM - API и формат файла, который совместим с реализациями - аудита в &sun; &solaris; и &apple; &macos; X. + В &os; реализован опубликованный &sun; интерфейс прикладного + программирования (Application Programming Interface, + API), называемый Basic Security Module + (BSM), и формат файла, который совместим с + реализациями аудита в &solaris; и &macos; X. - В этой главе описывается, в основном, процесс установки и + В этой главе описывается процесс установки и конфигурирования системы аудита. В том числе, приводится - разъяснение политик аудита, а так же даются примеры конфигурационных + разъяснение политик аудита, а также даются примеры конфигурационных файлов. После прочтения этой главы вы будете знать: @@ -80,13 +67,14 @@ requirements. --> + Как настроить аудит во &os; для мониторинга пользователей и процессов. - Как просматривать журнал аудита, использовать ограничения по - размеру и специальные инструменты для его просмотра. + Как просматривать журнал аудита при помощи + инструментов просмотра и фильтрации (reduction). @@ -110,438 +98,494 @@ requirements. --> - Реализация аудита имеет известные ограничения, например, - не все события в настоящий момент протоколируемы. - Например, некоторые механизмы входа в систему (Основанные на X11 - оконные менеджеры, многое программное обеспечение от сторонних - производителей) не сконфигурированы для протоколирования событий - входа в систему через подсистему аудита. - Использование системы аудита может привести к генерированию - огромных журнальных файлов: их размер на сильно загруженных серверах - в некоторых конфигурациях может достигать нескольких гигабайт в неделю. - Администраторы должны принимать во внимание требования + Реализация аудита имеет известные ограничения. + Не все события в настоящий момент протоколируемые. + Также, некоторые механизмы входа в систему, такие как + оконные менеджеры X11 или + демоны от сторонних производителей, не настраивают аудит + пользовательских сессий должным образом. + + Использование системы аудита может привести к + генерированию изобилующих подробностями журнальных файлов. + Их размер на загруженных серверах в некоторых конфигурациях + может превышать несколько гигабайт в неделю. + Администраторы должны принимать во внимание требования к дисковому пространству для нагруженных конфигураций системы - аудита. Например, рекомендуется выделить отдельный раздел для - файловой системы аудита - /var/audit, - чтобы переполнение раздела аудита не влияло на работоспособность - всей остальной системы. + аудита. Например, желательно выделить отдельный раздел для + файловой системы аудита /var/audit, + чтобы заполнение раздела аудита не влияло на + другие файловые системы. - - Ключевые понятия в Данной Главе. + Ключевые понятия - Перед чтением этой главы необходимо определить несколько - ключевых понятий. В русской версии документа приводятся - близкий по смыслу перевод и в скобках указывается оригинальный - английский термин. + Следующие термины относятся к аудиту событий + безопасности: - событие (event): Событие, которое - может быть занесено в журнал. Примеры важных для безопасности - системы событий включает: создание файла, инициализацию сетевого + событие (event): событие, которое + может быть занесено в журнал. Примерами событий, + относящихся к безопасности системы, являются: создание + файла, инициализацию сетевого соединения, вход пользователя в систему. События разделяются на приписываемые (attributable) - те, которые могут быть отнесены к конкретному пользователю - - и не-приписываемые (non-attributable), если - их нельзя отнести к конкретному пользователю. Пример - не-приписываемого события - любое событие, произошедшее до - аутентификации пользователя, такое, например, такое, как - неудачный вход пользователя в систему. + и неприписываемые (non-attributable). + Пример + неприписываемого события — любое событие, произошедшее до + аутентификации пользователя, например, неверно + набранный пароль. - Класс (class): Классы событий это - именованные наборы однотипных событий, которые используются - в выражениях выбора. Частоиспользуемые классы событий + класс (class): именованные наборы + однотипных событий, которые используются + в выражениях выбора. Часто используемые классы событий включают создание файла (fc), выполнение файла (ex) и события входа в систему и выхода из нее (lo). - Запись (record): Запись - - это единичная запись в журнале, описывающая то или иное - событие. Запись обычно содержит информацию о типе события, + запись (record): единичная запись + в журнале, описывающая то или иное + событие. Записи содержат информацию о типе события, информацию о субъекте события (пользователе), который - выполнил некоторое действия, дату и время события, - информацию об объектах и аргументах события, если они есть, - а также информацию об успешности выполнения операции, - породившей событие. + выполнил некоторое действие, дату и время события, + информацию об объектах и аргументах события, + а также информацию об успешности или неуспешности выполнения + операции. - Журнал (trail): - журнал аудита, или лог-файл - - содержит серию записей о системных событиях. - Как правило, журнал содержит записи в строгом + журнал (trail): файл, + содержащий последовательность записей аудита, описывающих + события безопасности (security events). + Журнал содержит записи в ориентировочно хронологическом порядке по времени завершения события. Только авторизованные процессы могут добавлять записи в журнал. - выражение выбора (selection expression): - Строка, содержащая список префиксов и имен классов, используемая - для выбора группы событий. + выражение выбора (selection + expression): строка, содержащая список префиксов и имен + классов, используемая для выбора группы событий. предварительный выбор (preselection): - Процесс, с помощью которого система определяет, какие события имеют - важность для администратора. Это необходимо для того, - чтобы избежать протоколирования событий, не имеющих никакой значимости. - Предварительный выбор использует ряд выражений выбора - для того, чтобы определить, какие именно классы событий для - какого пользователя необходимо вносить в журнал, а так же - глобальные настройки, которые будут применяться как для + процесс, с помощью которого система определяет, какие события имеют + важность для администратора. + Предварительный выбор использует ряд выражений выбора, + задающих какие именно классы событий и для + какого пользователя необходимо вносить в журнал, а также — + глобальные настройки, которые будут применяться как для авторизованных, так и для неавторизованных процессов. - Фильтрация (reduction): - Процесс, в результате которого записи из существующего журнала - выделяются для хранения, распечатки или анализа. Также, это + фильтрация (reduction): + процесс, в результате которого записи из существующего журнала + выделяются для хранения, распечатки или анализа. Также, это процесс, в результате которого нежелательные записи удаляются - из журнала аудита. Используя фильтрацию, администраторы могут + из журнала аудита. Используя фильтрацию, администраторы могут реализовывать различные политики хранения данных аудита. Например, детализированный журнал может храниться месяц, но - после этого он должен быть сокращен чтобы хранить только - информацию о входе в систему и выходе из нее для целей архивации. + после этого он может быть сокращен чтобы хранить только + информацию о входе в систему и выходе из нее. - - Установка системы аудита - - Пользовательская часть подсистемы аудита устанавливается как часть - базовой системы &os;. Поддержка аудита событий со стороны ядра - также компилируется по умолчанию, но поддержка данной возможности - требует создания своего ядра, с добавлением следующей строки - в конфигурационный файл ядра: - - options AUDIT - - Процесс сборки и установки ядра подробно описан в главе - . - - Как только ядро с поддержкой аудита было собрано и установлено, - а система была перезагружена, необходимо разрешить запуск демона аудита, - добавив следующую строку в &man.rc.conf.5;: - - auditd_enable="YES" - - Затем нужно запустить поддержку аудита либо путем - перезагрузки, либо вручную, запустив демон аудита: - - service auditd start - - Настройка системы аудита - Все конфигурационные файлы системы аудита находятся в каталоге - /etc/security. Перед запуском - демона аудита там должны находиться следующие файлы: + Пользовательская часть системы аудита входит в базовую + систему &os;, системная часть включена в ядро + GENERIC, старт демона &man.auditd.8; + активируется включением следующей записи в + /etc/rc.conf: - - - audit_class - Содержит определения - классов аудита. - - - - audit_control - Параметры системы - аудита: классы по умолчанию, минимальное дисковое - пространство, которое должно оставаться на разделе журнала - аудита, максимальный размер журнала аудита и другие. - + auditd_enable="YES" - - audit_event - Текстовые имена и - описания событий аудита, а также список, определяющий - соответствие классов и событий, которые находятся в данных - классах. - + Затем нужно запустить демон аудита: - - audit_user - Требования аудита, которые - отличаются для отдельных пользователей. Они соединяются с - глобальными настройками по умолчанию при входе пользователя - в систему. - + &prompt.root; service auditd start - - audit_warn - Скрипт командного - интерпретатора, используемый &man.auditd.8;, - чтобы сгенерировать предупреждающие сообщения об исключительных - ситуациях, например, когда заканчивается свободное дисковое - пространство для записей журналов аудита, либо когда произошла - ротация файла журнала аудита. - - + Пользователям, предпочитающим строить специализированное + ядро, необходимо включить следующую запись в файл конфигурации + ядра: - - Файлы конфигурации аудита должны редактироваться и - изменяться с осторожностью, так как ошибки в конфигурации - могут привести к неправильному логу событий - + options AUDIT Выражения выбора событий Выражения выбора используются в нескольких местах - конфигурации аудита для определения того, какие события должны - подвергаться аудиту. Выражения содержат список классов событий, - с которыми интересующее нас событие будет сравниваться. Каждое - выражение имеет префикс, показывающий, нужно ли принять - или игнорировать найденное событие, и, возможно, показывающий, - интересуют ли нас успешные или неуспешные операции. Выражения - выбора рассматриваются слева направа, и два выражения - объединяются простым добавлением второго выражения к концу - первого. - - Следующий список содержит классы по умолчанию, - присутствующие в файле audit_class: - - - - all - all - - Соответствует всем классам событий. - - - - ad - administrative - - Аудит административных действий, произошедших в - системе. - - - - ap - application - - Аудит события, вызванного каким-либо приложением. - - - - cl - file close - - Аудит вызовов системной функции close. - - - - ex - exec - - Аудит запуска приложения. Аудит аргументов командной строки и - переменных окружения контролируется через &man.audit.control.5; - используя параметры argv и envv - в опции policy. - - - - fa - file attribute access - - Аудит доступа к атрибутам объектов, - например &man.stat.1;, &man.pathconf.2;, а - также подобных этим событий. - - - - fc - file create - - Аудит событий, в результате которых создаются - файлы. - - - - fd - file delete - - Аудит событий, в результате которых удаляются - файлы. - - - - fm - file attribute modify - - Аудит событий, в результате которых изменяются - атрибуты файлов, например, &man.chown.8;, - &man.chflags.1;, &man.flock.2;. - - - - fr - file read - - Аудит событий, в результате которых происходит - чтение данных, открываются файлы на чтение и т.п. - + конфигурации для отбора событий, подлежащих аудиту. + Выражения содержат перечень классов событий, с которым + сравнивается происшедшее событие. Выражения + выбора рассматриваются слева направо, и два выражения + объединяются добавлением первого выражения ко + второму. + + перечисляет имеющиеся + по умолчанию записи: + + + Классы событий системы аудита + + + + + Имя класса + Расшифровка + Действие + + + + + + all + all + Соответствует всем классам событий. + + + + aa + authentication and authorization + + + + + ad + administrative + Аудит административных действий, произошедших в + системе. + + + + ap + application + События, определяемые каким-либо + приложением. + + + + cl + file close + Аудит вызовов системной функции + close. + + + + ex + exec + Аудит запуска приложения. Аудит аргументов + командной строки и переменных окружения контролируется + через &man.audit.control.5; используя параметры + argv и envv + в опции policy. + + + + fa + file attribute access + Аудит доступа к атрибутам объектов, например + таких как &man.stat.1;, &man.pathconf.2;. + + + + fc + file create + Аудит событий, в результате которых создаются + файлы. + + + + fd + file delete + Аудит событий, в результате которых удаляются + файлы. + + + + fm + file attribute modify + Аудит событий, в результате которых изменяются + атрибуты файлов, например, &man.chown.8;, + &man.chflags.1;, &man.flock.2;. + + + + fr + file read + Аудит событий, в результате которых происходит + чтение данных или открываются файлы на чтение. + + + + fw + file write + Аудит событий, в результате которых происходит + запись данных, запись или изменение файлов. + + + + io + ioctl + Аудит вызовов системной функции + &man.ioctl.2;. + + + + ip + ipc + Аудит различных видов взаимодействия процессов, + включая создание неименованных каналов (POSIX pipe) и + взаимодействие процессов в стиле System V + IPC. + + + + lo + login_logout + Аудит событий &man.login.1; и + &man.logout.1;. + + + + na + non attributable + Аудит неприписываемых событий. + + + + no + invalid class + Не соответствует никаким событиям аудита. + + + + nt + network + Аудит событий, связанных с сетевыми + подключениями, например &man.connect.2; и + &man.accept.2;. + + + + ot + other + Аудит различных событий. + + + + pc + process + Аудит действий процессов, таких как &man.exec.3; + и &man.exit.3;. + + + +
+ + Эти классы событий могут быть настроены изменением + конфигурационных файлов audit_class и + audit_event. + + Каждый класс аудита можно скомбинировать с префиксом, + показывающим, + какие операции будут учитываться — удачные или неудачные, + а также то, включает ли данная запись аудит для данного + класса и типа, либо отключает его. обобщает доступные + префиксы: + + + Префиксы классов аудита событий + + + + + Префикс + Действие + + + + + + + + Аудит успешных событий в данном классе. + + + + - + Аудит ошибочных событий в данном классе. + + + + ^ + Отключение аудита как успешных, так и ошибочных + событий в данном классе. + + + + ^+ + Отключение аудита успешных событий в данном + классе. + + + + ^- + Отключение аудита ошибочных событий в данном + классе. + + + +
+ + Если префикс не указан, то аудиту подлежат как успешные, + так и неуспешные события. + + Следующий пример выбирает успешные и неуспешные события входа в + систему и выхода из нее, и только успешные события выполнения + приложения: - - fw - file write - - - Аудит событий, в результате которых происходит - запись данных, запись или изменение файлов и так далее. - - - - io - ioctl - - Аудит вызовов системной функции &man.ioctl.2;. - - - - ip - ipc - - Аудит различных видов взаимодействия процессов, - включая создание не-именованных каналов (POSIX pipe) и - взаимодействие процессов в стиле System V - IPC. - - - - lo - login_logout - - Аудит событий &man.login.1; и &man.logout.1;, - происходящих в системе. - - - - na - non attributable - - Аудит не-приписываемых событий. - - - - no - invalid class - - Не соответствует никаким событиям аудита. - - - - nt - network - - Аудит событий, связанных с сетевыми подключениями, - например &man.connect.2; и &man.accept.2;. - - - - ot - other - - Аудит различных событий. - + lo,+ex + - - pc - process - - Аудит действий процессов, таких как &man.exec.3; и - &man.exit.3;. - - + + Конфигурационные файлы - Эти классы событий могут быть настроены изменением конфигурационных - файлов audit_class и - audit_event. - - Каждый класс аудита комбинируется с префиксом, показывающим, - какие операции будут учитываться - удачные или неудачные, - а также то, включает ли данная запись аудит для данного - класса и типа, либо отключает его. + В каталоге /etc/security находятся + следующие конфигурационные файлы системы аудита: - [пустой префикс] - Аудит проводится как для - успешного, так и для ошибочного события. - - - - + - Аудит только успешных - событий в данном классе. + audit_class: содержит определения + классов аудита. - - - Аудит только ошибочных - событий в данном классе. + audit_control: контроллирует + некоторые аспекты системы аудита, такие как классы по + умолчанию, минимальное дисковое + пространство, которое должно оставаться на разделе журнала + аудита, максимальный размер журнала аудита. - ^ - Отключение аудита как успешных, так и - ошибочных событий в данном классе. + + audit_event: связывает + идентификаторы событий (eventnum) с их текстовыми + именами, описаниями и классами событий. - ^+ - Отключение аудита успешных - событий в данном классе. + audit_user: уточняет настройки + аудита для конкретных пользователей; они комбинируются + с глобальными настройками при входе пользователя + в систему. - ^- - Отключение аудита ошибочных - событий в данном классе. + audit_warn: настраиваемый скрипт + командного интерпретатора, который вызывается &man.auditd.8; + для генерации предупреждений в исключительных ситуациях, + таких как исчерпание дискового пространства записями аудита + или при ротации журнала аудита. - - Следующий пример выбирает успешные и не-успешные события входа в - систему и выхода из нее, и только успешные события исполнения - файла: - - lo,+ex - - - - Конфигурационные файлы + + Файлы конфигурации аудита должны редактироваться и + изменяться с осторожностью, так как ошибки в конфигурации + могут привести к сохранению бесполезных записей. + - В большинстве случаев администратору придётся вносить + В большинстве случаев администратору придется вносить изменения только в два конфигурационных файла системы аудита: audit_control и audit_user. Первый из них содержит общие настройки системы аудита, второй может использоваться - для более тонкой настройки аудита пользователем. + для уточнения настроек аудита для конкретных + пользователей. Файл <filename>audit_control</filename> - Некоторые настройки по умолчанию для подсистемы - аудита содержатся в файле audit_control: + Ниже приведен перечень настроек по умолчанию, + содержащихся в audit_control: dir:/var/audit -flags:lo -minfree:20 -naflags:lo -policy:cnt -filesz:0 +dist:off +flags:lo,aa +minfree:5 +naflags:lo,aa +policy:cnt,argv +filesz:2M +expire-after:10M Запись используется для установки одного или более каталогов, в - которых будет сохраняться журнал системы аудита. Если + которых будет сохраняться журнал системы аудита. Если указан более чем один каталог, то указанные каталоги - будут использоваться по очереди, по мере заполнения. Как - правило, система аудита конфигурируется таким образом, что - журнал аудита хранится на отдельном разделе, чтобы - предотвратить пересечение подсистемы аудита и остальных - подсистем в случае, если свободное месте на разделе - системы аудита будет исчерпано. + будут использоваться по очереди, по мере заполнения. Как + правило, система аудита настраивается на хранение + журнала аудита на отдельном разделе, чтобы + предотвратить взаимное влияние подсистемы аудита и остальных + подсистем в случае исчерпания свободного места на + разделе. + + Если опция имеет значение + on или yes, то для + всех журналов аудита будут создаваться жесткие ссылки, + сохраняемые в /var/audit/dist. Запись используется для установки глобальной маски предварительного выбора - для приписываемых событий. В примере выше, будут подвергаться - аудиту как успешные, так и неудачные попытки входа в - систему и выхода из нее для всех пользователей + для приписываемых событий. В примере выше аудиту будут + подвергаться как успешные, так и неудачные попытки входа в + систему и выхода из нее, а также — аутентификация + и авторизация для всех пользователей. Запись определяет минимальное - значение свободного дискового пространства на разделе, в - который сохраняются файлы журналов аудита. Когда данная - граница будет превышена, будет сгенерировано предупреждение. - Вышеприведенный пример устанавливает минимальное свободное - пространство в двадцать процентов. + количество свободного дискового пространства на разделе, в + который сохраняются файлы журналов аудита. + Запись определяет классы - аудита для не-приписываемых событий, например, процессов + аудита для неприписываемых событий, например, процессов входа в систему и системных демонов. - Запись определяет список - флагов политики, определяющей различные аспекты поведения - аудита. Элементы списка отделяются друг от друга запятыми. - По умолчанию, флаг cnt указывает, что - система должна продолжать работать, несмотря на ошибки - аудита (данный флаг очень сильно рекомендуется использовать). - Другой частоиспользуемый флаг - argv, - который заставляет подвергать аудиту аргументы командной - строки при вызове системного вызова &man.execve.2;, как - часть выполнения команды. - - Запись определяет - максимальный размер в байтах, до которого может расти - журнал событий аудита, прежде чем он будет автоматически - закончен и подвергнут ротации. По умолчанию, значение 0 - запрещает автоматическую ротацию логов. Если требуемый - размер файла ненулевой, но ниже минимального значения в - 512К, то он будет проигнорирован, и будет сгенерировано - предупреждающее сообщение в логах. + Запись определяет разделяемый + запятыми список + флагов политики, определяющей различные аспекты поведения + аудита. + Флаг cnt указывает, что + система должна продолжать работать, несмотря на ошибки + аудита (данный флаг настоятельно рекомендуется). + Второй флаг, argv, + заставляет подвергать аудиту аргументы командной + строки при вызове системного вызова &man.execve.2;. + + Запись определяет максимальный + размер журнала событий аудита, по достижении которого + журнал будет автоматически + закончен и подвергнут ротации. Значение 0 + запрещает автоматическую ротацию логов. Если указанный + размер ниже минимального значения + 512К, то он будет проигнорирован, и будет сгенерировано + предупреждающее сообщение в логах. + + Поле определяет момент + времени, при достижении которого журнальные файлы считаются + неактуальными и удаляются. @@ -550,65 +594,68 @@ filesz:0 Администратор может определить дополнительные требования к аудиту для конкретных пользователей в файле audit_user. - Каждая строка конфигурирует аудит для пользователя - с использованием двух полей: первое поле - alwaysaudit, которое определяет + Каждая строка позволяет уточнить настройки аудита + для пользователя при помощи двух полей: + alwaysaudit — определяющее набор событий, которые должны всегда подвергаться - аудиту для данного пользователя, а второе - поле - neveraudit, которое определяет + аудиту для данного пользователя, и + neveraudit — перечисляющее набор событий, которые никогда не должны подвергаться аудиту для пользователя. - Нижеследующий пример audit_user - проводит аудит всех событий входа в систему и выхода из - системы для пользователя root, - а также проводит аудит всех событий, связанных с созданием - файлов и успешным выполнением команд для пользователя - www. При использовании с - вышеприведенным примером файла audit_control, - запись lo для root - является лишней, кроме того, события входа в систему и выхода + Нижеследующий пример настраивает аудит всех событий + входа в систему, выхода из системы, а также аудит всех + успешных выполнений команд для пользователя + root, + а также — аудит всех событий, связанных с созданием + файлов и успешным выполнением команд пользователем + www. С + настройками по умолчанию в audit_control + запись lo для + root + является избыточной, кроме того, события входа в систему и выхода из системы будут подвергаться аудиту и для пользователя www. root:lo,+ex:no www:fc,+ex:no - - Администрирование подсистемы аудита + Работа с журналами аудита + + Так как журнал аудита хранится в бинарном формате + BSM, то для его изменения или перевода в + текстовый формат предоставляются встроенные утилиты. Утилита + praudit преобразует журнал аудита в текстовый + формат. Утилита auditreduce применяется для + фильтрации журнальных записей с целью анализа, архивирования + или распечатки. Последняя утилита поддерживает разнообразие + параметров, позволяющих выбирать записи по типу события, по + классу события, по пользователю, по дате или времени события, + по пути к файлу или по объекту, над которым производилось + действие. - - Просмотр журнала аудита - *** DIFF OUTPUT TRUNCATED AT 1000 LINES ***