Skip site navigation (1)Skip section navigation (2)
Date:      Wed, 4 Nov 2015 18:32:20 +0000 (UTC)
From:      Remko Lodder <remko@FreeBSD.org>
To:        doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-translations@freebsd.org
Subject:   svn commit: r47739 - translations/nl_NL.ISO8859-1/books/handbook/audit
Message-ID:  <201511041832.tA4IWKmH025269@repo.freebsd.org>

next in thread | raw e-mail | index | archive | help
Author: remko
Date: Wed Nov  4 18:32:20 2015
New Revision: 47739
URL: https://svnweb.freebsd.org/changeset/doc/47739

Log:
  Update the WIP from Mike
  
  Submitted by:	Mike Snow B.V.
  Facilitated by:	Snow B.V.

Modified:
  translations/nl_NL.ISO8859-1/books/handbook/audit/chapter.xml

Modified: translations/nl_NL.ISO8859-1/books/handbook/audit/chapter.xml
==============================================================================
--- translations/nl_NL.ISO8859-1/books/handbook/audit/chapter.xml	Wed Nov  4 12:13:47 2015	(r47738)
+++ translations/nl_NL.ISO8859-1/books/handbook/audit/chapter.xml	Wed Nov  4 18:32:20 2015	(r47739)
@@ -4,7 +4,7 @@
      $FreeBSD$
 
      %SOURCE%	en_US.ISO8859-1/books/handbook/audit/chapter.xml
-     %SRCID%	41645
+     %SRCID%	44395
 -->
 <!-- Need more documentation on praudit, auditreduce, etc.  Plus more info
 on the triggers from the kernel (log rotation, out of space, etc).
@@ -12,19 +12,41 @@ And the /dev/audit special file if we ch
 some coverage of integrating MAC with Event auditing and perhaps discussion
 on how some companies or organizations handle auditing and auditing
 requirements. -->
-<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="audit">
-  <info><title>Security Event Auditing</title>
+
+<chapter xmlns="http://docbook.org/ns/docbook"
+  xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0"
+  xml:id="audit">
+
+  <info>
+    <title>Security Event Auditing</title>
+
     <authorgroup>
-      <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Geschreven door </contrib></author>
-      <author><personname><firstname>Robert</firstname><surname>Watson</surname></personname></author>
+      <author>
+	<personname>
+	  <firstname>Tom</firstname>
+	  <surname>Rhodes</surname>
+	</personname>
+	<contrib>Geschreven door </contrib>
+      </author>
+
+      <author>
+	<personname>
+	  <firstname>Robert</firstname>
+	  <surname>Watson</surname>
+	</personname>
+      </author>
     </authorgroup>
     <authorgroup>
-      <author><personname><firstname>Remko</firstname><surname>Lodder</surname></personname><contrib>Vertaald door </contrib></author>
+      <author>
+	<personname>
+	  <firstname>Remko</firstname>
+	  <surname>Lodder</surname>
+	</personname>
+	<contrib>Vertaald door </contrib>
+      </author>
     </authorgroup>
   </info>
 
-  
-
   <sect1 xml:id="audit-synopsis">
     <title>Overzicht</title>
 
@@ -34,10 +56,10 @@ requirements. -->
       <see>MAC</see>
     </indexterm>
 
-    <para>Het besturingssysteem &os; heeft ondersteuning voor diepgaande
+    <para>Het besturingssysteem &os; heeft ondersteuning voor
       beveiligingsauditing van evenementen.  Evenement auditing maakt
-      het mogelijk dat er diepgaande en configureerbare logging van
-      een variateit aan beveiligings-gerelateerde systeem evenementen,
+      het mogelijk dat er betrouwbare, diepgaande en configureerbare logging
+      van een variateit aan beveiligings-gerelateerde systeem evenementen,
       waaronder logins, configuratie wijzigingen, bestands- en
       netwerk toegang.  Deze log regels kunnen erg belangrijk
       zijn voor live systeem monitoring, intrusion detection en
@@ -98,8 +120,8 @@ requirements. -->
 	van gebruikers.</para>
 
       <para>De beveiligings evenement auditing faciliteit is in staat om
-	erg gedetailleerde logs van systeem activiteiten op een druk
-	systeem te genereren, trail bestands data kan erg groot worden
+	erg gedetailleerde logs van systeem activiteiten te genereren.  Op
+	een druksysteem kan het trail bestands data erg groot worden
 	wanneer er erg precieze details worden gevraagd, wat enkele
 	gigabytes per week kan behalen in sommige configuraties.
 	Beheerders moeten rekening houden met voldoende schijfruimte voor
@@ -114,8 +136,8 @@ requirements. -->
   <sect1 xml:id="audit-inline-glossary">
     <title>Sleutelwoorden in dit hoofdstuk</title>
 
-    <para>Voordat dit hoofdstuk gelezen kan worden, moeten er een
-      aantal audit gerelateerde termen uitgelegd worden:</para>
+    <para>De volgende termen zijn gerelateerd aan security event
+      auditing:</para>
 
     <itemizedlist>
       <listitem>
@@ -169,11 +191,9 @@ requirements. -->
       <listitem>
 	<para><emphasis>preselection</emphasis>: Het proces waarbij het
 	  systeem bepaald welke evenementen interessant zijn voor de
-	  beheerder, zodat wordt voorkomen dat er audit records
-	  worden gegenereerd voor evenementen die niet interessant zijn.
-	  De <quote>preselection</quote> configuratie gebruikt een serie
-	  van selectie expressies om te identificeren welke klassen van
-	  evenementen van toepassing zijn op gebruikers en globale
+	  beheerder.  De <quote>preselection</quote> configuratie gebruikt
+	  een serie van selectie expressies om te identificeren welke klassen
+	  van evenementen van toepassing zijn op gebruikers en globale
 	  instellingen voor zowel geauthoriseerde als ongeauthoriseerde
 	  processen.</para>
       </listitem>
@@ -193,84 +213,27 @@ requirements. -->
     </itemizedlist>
   </sect1>
 
-  <sect1 xml:id="audit-install">
-    <title>Installeren van audit ondersteuning.</title>
+  <sect1 xml:id="audit-config">
+    <title>Audit Configuratie</title>
 
     <para>Ondersteuning in de gebruikersomgeving voor evenement auditing wordt
       geïnstalleerd als onderdeel van het basis &os; besturingssysteem.
-      Kernel-ondersteuning voor evenement-auditing wordt standaard meegenomen
-      tijdens compilatie, maar moet expliciet in de kernel gecompileerd worden
-      door de volgende regel toe te voegen aan het configuratiebestand van de
-      kernel:</para>
-
-    <programlisting>options	AUDIT</programlisting>
-
-    <para>Bouw en herinstalleer de kernel volgens het normale
-      proces zoals beschreven in <xref linkend="kernelconfig"/>.</para>
-
-    <para>Zodra een audit ondersteunende kernel is gebouwd en
-      geïnstalleerd en deze is opgestart kan de audit daemon
-      aangezet worden door de volgende regel aan &man.rc.conf.5; toe te
-      voegen:</para>
+      Kernel-ondersteuning is standaard beschikbaar in de
+      <filename>GENERIC</filename> kernel en &man.auditd.8; kan worden
+      aangezet door de volgende regel aan
+      <filename>/etc/rc.conf</filename> toe te voegen:</para>
 
     <programlisting>auditd_enable="YES"</programlisting>
 
-    <para>Audit ondersteuning moet daarna aangezet worden door een
-      herstart van het systeem of door het handmatig starten van de audit
-      daemon:</para>
-
-    <programlisting>service auditd start</programlisting>
-  </sect1>
-
-  <sect1 xml:id="audit-config">
-    <title>Audit Configuratie</title>
-
-    <para>Alle configuratie bestanden voor beveiligings audit kunnen
-      worden gevonden in
-      <filename>/etc/security</filename>.  De volgende
-      bestanden moeten aanwezig zijn voor de audit daemon wordt
-      gestart:</para>
-
-    <itemizedlist>
-      <listitem>
-	<para><filename>audit_class</filename> - Bevat de definities
-	  van de audit klasses.</para>
-      </listitem>
-
-      <listitem>
-	<para><filename>audit_control</filename> - Controleert aspecten
-	  van het audit subsysteem, zoals de standaard audit klassen,
-	  minimale hoeveelheid diskruimte die moet overblijven op de
-	  audit log schijf, de maximale audit trail grootte, etc.</para>
-      </listitem>
-
-      <listitem>
-	<para><filename>audit_event</filename> - Tekst namen en
-	  beschrijvingen van systeem audit evenementen, evenals een
-	  lijst van klassen waarin elk evenement zich bevind.</para>
-      </listitem>
+    <para>Start daarna de audit daemon:</para>
 
-      <listitem>
-	<para><filename>audit_user</filename> - Gebruiker specifieke
-	  audit benodigdheden welke gecombineerd worden met de globale
-	  standaarden tijdens het inloggen.</para>
-      </listitem>
+    <screen>&prompt.root; <userinput>service auditd start</userinput></screen>
 
-      <listitem>
-	<para><filename>audit_warn</filename> - Een bewerkbaar shell
-	  script gebruikt door de <application>auditd</application>
-	  applicatie welke waarschuwings berichten genereert in
-	  bijzondere situaties zoals wanneer de ruimte voor audit
-	  records te laagis of wanneer het audit trail bestand is
-	  geroteerd.</para>
-      </listitem>
-    </itemizedlist>
+    <para>Gebruikers met een voorkeur voor een custom kernel moeten de
+      volgende regel toe te voegen aan het configuratiebestand van de
+      kernel:</para>
 
-    <warning>
-      <para>Audit configuratie bestanden moeten voorzichtig worden
-	bewerkt en onderhouden, omdat fouten in de configuratie kunnen
-	resulteren in het verkeerd loggen van evenementen.</para>
-    </warning>
+    <programlisting>options	AUDIT</programlisting>
 
     <sect2>
       <title>Evenement selectie expressies</title>
@@ -278,135 +241,168 @@ requirements. -->
       <para>Selectie expressies worden gebruikt op een aantal plaatsen
 	in de audit configuratie om te bepalen welke evenementen er
 	geaudit moeten worden.  Expressies bevatten een lijst van
-	evenement klassen welke gelijk zijn aan een prefix welke
-	aangeeft of gelijke records geaccepteerd moeten worden of
-	genegeerd en optioneel om aan te geven of de regel is bedoeld
-	om succesvolle of mislukte operaties te matchen.  Selectie
-	expressies worden geevalueerd van links naar rechts en twee
-	expressies worden gecombineerd door de één aan de
-	ander toe te voegen.</para>
-
-      <para>De volgende lijst bevat de standaard audit evenement klassen
-	welke aanwezig zijn in het <filename>audit_class</filename>
-	bestand:</para>
-
-      <itemizedlist>
-	<listitem>
-	  <para><literal>all</literal> - <emphasis>all</emphasis> -
-	    Matched alle evenement klasses.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>ad</literal> -
-	    <emphasis>administrative</emphasis> - Administratieve acties
-	    welke uitgevoerd worden op het gehele systeem.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>ap</literal> - <emphasis>application</emphasis> -
-	    Applicatie gedefinieerde acties.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>cl</literal> - <emphasis>file close</emphasis> -
-	    Audit aanroepen naar de <function>close</function> systeem
-	    aanroep.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>ex</literal> - <emphasis>exec</emphasis> - Audit
-	    programma uitvoer.  Het auditen van command line argumenten
-	    en omgevings variabelen wordt gecontroleerd via
-	    &man.audit.control.5; door gebruik te maken van de
-	    <literal>argv</literal> en <literal>envv</literal> parameters
-	    in de <literal>policy</literal> setting.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>fa</literal> -
-	    <emphasis>file attribute access</emphasis> - Audit de
-	    toevoeging van object attributen zoals &man.stat.1;,
-	    &man.pathconf.2; en gelijkwaardige evenementen.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>fc</literal> - <emphasis>file create</emphasis>
-	    - Audit evenementen waar een bestand wordt gecreëerd als
-	    resultaat.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>fd</literal> - <emphasis>file delete</emphasis>
-	    - Audit evenementen waarbij bestanden verwijderd
-	    worden.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>fm</literal> -
-	    <emphasis>file attribute modify</emphasis> - Audit
-	    evenementen waarbij bestandsattribuut wijzigingen
-	    plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;,
-	    &man.flock.2;, etc.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>fr</literal> - <emphasis>file read</emphasis>
-	    - Audit evenementen waarbij data wordt gelezen, bestanden
-	    worden geopend voor lezen etc.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>fw</literal> - <emphasis>file write</emphasis>
-	    - Audit evenementen waarbij data wordt geschreven, bestanden
-	    worden geschreven of gewijzigd, etc.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>io</literal> - <emphasis>ioctl</emphasis> -
-	    Audit het gebruik van de &man.ioctl.2; systeem aanroep.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>ip</literal> - <emphasis>ipc</emphasis> - Audit
-	    verschillende vormen van Inter-Process Communication, zoals
-	    POSIX pipes en System V <acronym>IPC</acronym> operaties.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>lo</literal> - <emphasis>login_logout</emphasis> -
-	    Audit &man.login.1; en &man.logout.1; evenementen die
-	    plaatsvinden op het systeem.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>na</literal> -
-	    <emphasis>non attributable</emphasis> - Audit
-	    non-attributable evenementen.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>no</literal> -
-	    <emphasis>invalid class</emphasis> - Matched geen enkel
-	    audit evenement.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>nt</literal> - <emphasis>network</emphasis> -
-	    Audit evenementen die gerelateerd zijn aan netwerk acties
-	    zoals &man.connect.2; en &man.accept.2;.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>ot</literal> - <emphasis>other</emphasis> -
-	    Audit diverse evenementen.</para>
-	</listitem>
-
-	<listitem>
-	  <para><literal>pc</literal> - <emphasis>process</emphasis> -
-	    Audit process operaties zoals &man.exec.3; en
-	    &man.exit.3;</para>
-	</listitem>
-      </itemizedlist>
+	evenement klassen om te matchen.  Selectie expressies worden
+	geevalueerd van links naar rechts en twee expressies worden
+	gecombineerd door de één aan de ander toe te voegen.</para>
+
+      <para><xref linkend="event-selection"/>vat de standaard audit evenement
+	klassen samen:</para>
+
+      <table xml:id="event-selection" frame="none" pgwide="1">
+	<title>Standaard audit event klassen</title>
+
+	<tgroup cols="3">
+	  <thead>
+	    <row>
+	      <entry>Class Name</entry>
+	      <entry>Description</entry>
+	      <entry>Action</entry>
+	    </row>
+	  </thead>
+
+	  <tbody>
+	    <row>
+	      <entry>all</entry>
+	      <entry>all</entry>
+	      <entry>Matched alle evenement klasses.</entry>
+	    </row>
+
+	    <row>
+	      <entry>aa</entry>
+	      <entry>authentication and authorization</entry>
+	      <entry></entry>
+	    </row>
+
+	    <row>
+	      <entry>ad</entry>
+	      <entry>administrative</entry>
+	      <entry>Administratieve acties welke uitgevoerd worden op
+		het gehele systeem.</entry>
+	    </row>
+
+	    <row>
+	      <entry>ap</entry>
+	      <entry>application</entry>
+	      <entry>Applicatie gedefinieerde acties.</entry>
+	    </row>
+
+	    <row>
+	      <entry>cl</entry>
+	      <entry>file close</entry>
+	      <entry>Audit aanroepen naar de <function>close</function> systeem
+		aanroep.</entry>
+	    </row>
+
+	    <row>
+	      <entry>ex</entry>
+	      <entry>exec</entry>
+	      <entry>Audit programma uitvoer.  Het auditen van command line
+		argumenten en omgevings variabelen wordt gecontroleerd via
+		&man.audit.control.5; door gebruik te maken van de
+		<literal>argv</literal> en <literal>envv</literal> parameters
+		in de <literal>policy</literal> setting.</entry>
+	    </row>
+
+	    <row>
+	      <entry>fa</entry>
+	      <entry>file attribute access</entry>
+	      <entry>Audit de toevoeging van object attributen zoals
+		&man.stat.1;, &man.pathconf.2; en gelijkwaardige
+		evenementen.</entry>
+	    </row>
+
+	    <row>
+	      <entry>fc</entry>
+	      <entry>file create</entry>
+	      <entry>Audit evenementen waar een bestand wordt gecreëerd als
+		resultaat.</entry>
+	    </row>
+
+	    <row>
+	      <entry>fd</entry>
+	      <entry>file delete</entry>
+	      <entry>Audit evenementen waarbij bestanden verwijderd
+		worden.</entry>
+	    </row>
+
+	    <row>
+	      <entry>fm</entry>
+	      <entry>file attribute modify</entry>
+	      <entry>Audit evenementen waarbij bestandsattribuut wijzigingen
+		plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;,
+		&man.flock.2;, etc.</entry>
+	    </row>
+
+	    <row>
+	      <entry>fr</entry>
+	      <entry>file read</entry>
+	      <entry>Audit evenementen waarbij data wordt gelezen, bestanden
+		worden geopend voor lezen etc.</entry>
+	    </row>
+
+	    <row>
+	      <entry>fw</entry>
+	      <entry>file write</entry>
+	      <entry>Audit evenementen waarbij data wordt geschreven, bestanden
+		worden geschreven of gewijzigd, etc.</entry>
+	    </row>
+
+	    <row>
+	      <entry>io</entry>
+	      <entry>ioctl</entry>
+	      <entry>Audit het gebruik van de &man.ioctl.2; systeem
+		aanroep.</entry>
+	    </row>
+
+	    <row>
+	      <entry>ip</entry>
+	      <entry>ipc</entry>
+	      <entry>Audit verschillende vormen van Inter-Process Communicatie,
+		zoals POSIX pipes en System V <acronym>IPC</acronym>
+		operaties.</entry>
+	    </row>
+
+	    <row>
+	      <entry>lo</entry>
+	      <entry>login_logout</entry>
+	      <entry>Audit &man.login.1; en &man.logout.1; evenementen die
+		plaatsvinden op het systeem.</entry>
+	    </row>
+
+	    <row>
+	      <entry>na</entry>
+	      <entry>non attributable</entry>
+	      <entry>Audit non-attributable evenementen.</entry>
+	    </row>
+
+	    <row>
+	      <entry>no</entry>
+	      <entry>invalid class</entry>
+	      <entry>Matched geen enkel audit evenement.</entry>
+	    </row>
+
+	    <row>
+	      <entry>nt</entry>
+	      <entry>network</entry>
+	      <entry>Audit evenementen die gerelateerd zijn aan netwerk acties
+		zoals &man.connect.2; en &man.accept.2;.</entry>
+	    </row>
+
+	    <row>
+	      <entry>ot</entry>
+	      <entry>other</entry>
+	      <entry>Audit diverse evenementen.</entry>
+	    </row>
+
+	    <row>
+	      <entry>pc</entry>
+	      <entry>process</entry>
+	      <entry>Audit process operaties zoals &man.exec.3; en
+		&man.exit.3;</entry>
+	    </row>
+	  </tbody>
+	</tgroup>
+      </table>
 
       <para>Deze audit evenement klassen kunnen veranderd worden door
 	het wijzigingen van de <filename>audit_class</filename> en
@@ -417,48 +413,104 @@ requirements. -->
 	operaties hebben plaatsgevonden en of de regel wordt toegevoegd
 	of verwijderd van het matchen van de klasse en het type.</para>
 
-      <itemizedlist>
-	<listitem>
-	  <para>(none) Audit zowel succesvolle als mislukte informatie
-	    van het evenement.</para>
-	</listitem>
+      <table xml:id="event-prefixes" frame="none" pgwide="1">
+	<title>Prefixes voor audit evenement klassen</title>
+
+	<tgroup cols="2">
+	  <thead>
+	    <row>
+	      <entry>Prefix</entry>
+	      <entry>Action</entry>
+	    </row>
+	  </thead>
+
+	  <tbody>
+	    <row>
+	      <entry>+</entry>
+	      <entry>Audit succesvolle evenementen in deze klasse.</entry>
+	    </row>
+
+	    <row>
+	      <entry>-</entry>
+	      <entry>Audit mislukte evenementen in deze klasse.</entry>
+	    </row>
+
+	    <row>
+	      <entry>^</entry>
+	      <entry>Audit geen enkele succesvolle of
+		mislukte evenementen in deze klasse.</entry>
+	    </row>
+
+	    <row>
+	      <entry>^+</entry>
+	      <entry>Audit geen succesvolle evenementen in deze klasse.</entry>
+	    </row>
+
+	    <row>
+	      <entry>^-</entry>
+	      <entry>Audit geen mislukte evenementen in deze klasse.</entry>
+	    </row>
+	  </tbody>
+	</tgroup>
+      </table>
+
+      <para>Indien er geen prefix aanwezig is, worden zowel succesvolle als
+	mislukte gebeurtenissen van het evenement geaudit.</para>
+
+      <para>De volgende voorbeeld selectie strings selecteren zowel
+	succesvolle als mislukte login/logout evenementen, maar alleen
+	succesvolle uitvoer evenementen:</para>
+
+      <programlisting>lo,+ex</programlisting>
+    </sect2>
 
+    <sect2>
+      <title>Configuratie bestanden</title>
+
+      <para>Alle configuratie bestanden voor beveiligings audit kunnen
+	worden gevonden in
+	<filename>/etc/security</filename>:</para>
+
+      <itemizedlist>
 	<listitem>
-	  <para><literal>+</literal> Audit succesvolle evenementen in
-	    deze klasse.</para>
+	  <para><filename>audit_class</filename> - Bevat de definities
+	    van de audit klasses.</para>
 	</listitem>
 
 	<listitem>
-	  <para><literal>-</literal> Audit mislukte evenementen in deze
-	    klasse.</para>
+	  <para><filename>audit_control</filename> - Controleert aspecten
+	    van het audit subsysteem, zoals de standaard audit klassen,
+	    minimale hoeveelheid diskruimte die moet overblijven op de
+	    audit log schijf, de maximale audit trail grootte, etc.</para>
 	</listitem>
 
 	<listitem>
-	  <para><literal>^</literal> Audit geen enkele succesvolle of
-	    mislukte evenementen in deze klasse.</para>
+	  <para><filename>audit_event</filename> - Tekst namen en
+	    beschrijvingen van systeem audit evenementen, evenals een
+	    lijst van klassen waarin elk evenement zich bevind.</para>
 	</listitem>
 
 	<listitem>
-	  <para><literal>^+</literal> Audit geen succesvolle evenementen
-	    in deze klasse.</para>
+	  <para><filename>audit_user</filename> - Gebruiker specifieke
+	    audit benodigdheden welke gecombineerd worden met de globale
+	    standaarden tijdens het inloggen.</para>
 	</listitem>
 
 	<listitem>
-	  <para><literal>^-</literal> Audit geen mislukte evenementen
-	    in deze klasse.</para>
+	  <para><filename>audit_warn</filename> - Een bewerkbaar shell
+	    script gebruikt door de <application>auditd</application>
+	    applicatie welke waarschuwings berichten genereert in
+	    bijzondere situaties zoals wanneer de ruimte voor audit
+	    records te laagis of wanneer het audit trail bestand is
+	    geroteerd.</para>
 	</listitem>
-
       </itemizedlist>
 
-      <para>De volgende voorbeeld selectie strings selecteren zowel
-	succesvolle als mislukte login/logout evenementen, maar alleen
-	succesvolle uitvoer evenementen:</para>
-
-      <programlisting>lo,+ex</programlisting>
-    </sect2>
-
-    <sect2>
-      <title>Configuratie bestanden</title>
+      <warning>
+	<para>Audit configuratie bestanden moeten voorzichtig worden
+	  bewerkt en onderhouden, omdat fouten in de configuratie kunnen
+	  resulteren in het verkeerd loggen van evenementen.</para>
+      </warning>
 
       <para>In de meeste gevallen moet een beheerder twee bestanden
 	wijzigingen wanneer het audit systeem wordt geconfigureerd:
@@ -475,11 +527,13 @@ requirements. -->
 	  bekeken wordt van dit bestand is het volgende te zien:</para>
 
 	<programlisting>dir:/var/audit
-flags:lo
-minfree:20
-naflags:lo
-policy:cnt
-filesz:0</programlisting>
+dist:off
+flags:lo,aa
+minfree:5
+naflags:lo,aa
+policy:cnt,argv
+filesz:2M
+expire-after:10M</programlisting>
 
 	<para>De <option>dir</option> optie wordt gebruikt om
 	  één of meerdere directories te specificeren die
@@ -491,6 +545,11 @@ filesz:0</programlisting>
 	  voorkomen dat het audit subsysteem en andere subsystemen met
 	  elkaar botsen als het bestandssysteem volraakt.</para>
 
+	<para>Als het <option>dist</option> veld op <literal>on</literal>
+	  of <literal>yes</literal> is gezet, zullen harde links worden
+	  gemaakt naar alle trail bestanden in
+	  <filename>/var/audit/dist</filename>.</para>
+
 	<para>Het <option>flags</option> veld stelt de systeem brede
 	  standaard preselection maskers voor attributable evenementen
 	  in.  In het voorbeeld boven worden succesvolle en mislukte
@@ -524,6 +583,9 @@ filesz:0</programlisting>
 	  gevraagde bestands grootte niet nul is en onder de minimale
 	  512k zit, wordt de optie genegeerd en wordt er een log bericht
 	  gegenereerd.</para>
+
+	<para>Het <option>expire-after</option> veld specificeert wanneer
+	  audit log bestanden zullen expireren en verwijderd worden.</para>
       </sect3>
 
       <sect3 xml:id="audit-audituser">
@@ -558,42 +620,38 @@ www:fc,+ex:no</programlisting>
   </sect1>
 
   <sect1 xml:id="audit-administration">
-    <title>Het audit subsysteem beheren.</title>
-
-    <sect2>
-      <title>Audit trails inzien</title>
+    <title>Werken met audit trails</title>
 
-      <para>Audit trails worden opgeslagen in het BSM binaire formaat,
-	dus ondersteunende programma's moeten worden gebruikt om de
-	informatie te wijzigen of converteren naar tekst.  Het
-	&man.praudit.1; commando converteert trail bestanden naar een
-	simpel tekst formaat; het &man.auditreduce.1; commando kan
-	gebruikt worden om de audit trail te reduceren voor analyse,
-	archivering of voor het uitprinten van de data.
-	<command>auditreduce</command> ondersteund een variateit aan
-	selectie parameters, zoals evenement type, evenement klasse,
-	gebruiker, datum of tijd van het evenement en het bestandspad
-	of object dat gebruikt wordt.</para>
-
-      <para>Bijvoorbeeld, het <command>praudit</command> programma zal
-	een dump maken van de volledige inhoud van een gespecificeerd
-	audit log bestand in normale tekst:</para>
-
-      <screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen>
-
-      <para>Waar
-	<filename>AUDITFILE</filename> het
-	audit bestand is dat ingelezen moet worden.</para>
-
-      <para>Audit trails bestaan uit een serie van audit records die
-	gevormd worden door tokens, welke <command>praudit</command>
-	sequentieel print één per regel.  Elke token is van
-	een specifiek type, zoals een <literal>header</literal> welke
-	de audit record header bevat, of <literal>path</literal> welke
-	het bestandspad bevat van een lookup.  Het volgende is een
-	voorbeeld van een <literal>execve</literal> evenement:</para>
+    <para>Audit trails worden opgeslagen in het BSM binaire formaat,
+      dus ondersteunende programma's moeten worden gebruikt om de
+      informatie te wijzigen of converteren naar tekst.  Het
+      <command>praudit</command> commando converteert trail bestanden naar
+      een simpel tekst formaat; het <command>auditreduce</command> commando
+      kan gebruikt worden om de audit trail te reduceren voor analyse,
+      archivering of voor het uitprinten van de data.
+      <command>auditreduce</command> ondersteund een variateit aan
+      selectie parameters, zoals evenement type, evenement klasse,
+      gebruiker, datum of tijd van het evenement en het bestandspad
+      of object dat gebruikt wordt.</para>
+
+    <para>Bijvoorbeeld, het <command>praudit</command> programma zal
+      een dump maken van de volledige inhoud van een gespecificeerd
+      audit log bestand in normale tekst:</para>
+
+    <screen>&prompt.root; <userinput>praudit /var/audit/<replaceable>AUDITFILE</replaceable></userinput></screen>
+
+    <para>Waar <replaceable>AUDITFILE</replaceable> het
+      audit bestand is dat ingelezen moet worden.</para>
+
+    <para>Audit trails bestaan uit een serie van audit records die
+      gevormd worden door tokens, welke <command>praudit</command>
+      sequentieel print één per regel.  Elke token is van
+      een specifiek type, zoals een <literal>header</literal> welke
+      de audit record header bevat, of <literal>path</literal> welke
+      het bestandspad bevat van een lookup.  Het volgende is een
+      voorbeeld van een <literal>execve</literal> evenement:</para>
 
-      <programlisting>header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec
+    <programlisting>header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec
 exec arg,finger,doug
 path,/usr/bin/finger
 attribute,555,root,wheel,90,24918,104944
@@ -601,73 +659,61 @@ subject,robert,root,wheel,root,wheel,384
 return,success,0
 trailer,133</programlisting>
 
-      <para>Deze audit representeert een succesvolle
-	<literal>execve</literal> aanroep, waarbij het commando
-	<literal>finger doug</literal> is aangeroepen.  Het argument
-	token bevat beide commando's gerepresenteerd door de shell aan
-	de kernel.  Het <literal>path</literal> token bevat het pad
-	naar het uitvoerbare bestand zoals opgezocht door de kernel.
-	Het <literal>attribute</literal> token beschrijft de binary en
-	om precies te zijn bevat het de bestands mode welke gebruikt
-	kan worden om te zien of het bestand setuid was.  Het
-	<literal>subject</literal> token beschrijft het onderwerp
-	proces en bevat sequentieel het audit gebruikers ID, effectieve
-	gebruikers ID en groep ID, echte gebruikers ID, groep ID,
-	proces ID, sessie ID, port ID en login adres.  Let op dat het
-	audit gebruikers ID en het echte gebruikers ID van elkaar
-	verschillen omdat de gebruiker <systemitem class="username">robert</systemitem>
-	veranderd is naar de <systemitem class="username">root</systemitem> gebruiker voordat
-	het commando werd uitgevoerd, maar welke geaudit wordt als de
-	originele geauthoriseerde gebruiker.  Als laatste wordt de
-	<literal>return</literal> token gebruikt om aan te geven dat er
-	een succesvolle uitvoer is geweest en <literal>trailer</literal>
-	geeft het einde aan van het record.</para>
-
-      <para><command>praudit</command> ook een XML output formaat,
-	welke geselecteerd kan worden door gebruik te maken van het
-	<option>x</option> argument.</para>
-    </sect2>
-
-    <sect2>
-      <title>Het reduceren van audit trails</title>
-
-      <para>Omdat audit logs erg groot kunnen worden, zal de beheerder
-	waarschijnlijk een subset van records willen selecteren om te
-	gebruiken, zoals records die gekoppeld zijn aan een specifieke
-	gebruiker:</para>
-
-      <screen>&prompt.root; <userinput>auditreduce -u trhodes /var/audit/AUDITFILE | praudit</userinput></screen>
-
-      <para>Dit selecteert alle audit records die geproduceert zijn
-	voor de gebruiker <systemitem class="username">trhodes</systemitem> die opgeslagen
-	is in het <filename>AUDITFILE</filename>
-	bestand.</para>
-    </sect2>
-
-    <sect2>
-      <title>Delegeren van audit onderzoek rechten</title>
-
-      <para>Leden van de <systemitem class="groupname">audit</systemitem> groep krijgen
-	permissie om de audit trails te lezen in
-	<filename>/var/audit</filename>; standaard is deze
-	groep leeg en kan alleen de <systemitem class="username">root</systemitem> gebruiker deze
-	audit trails lezen.  Gebruikers kunnen toegevoegd worden aan de
-	<systemitem class="groupname">audit</systemitem> groep zodat onderzoek rechten kunnen
-	worden gedelegeerd aan de geruiker.  Omdat de mogelijkheid van
-	het inzien van audit log inhoud significante inzicht kan geven
-	in het gedrag van gebruikers en processen, wordt het aangeraden
-	dat de delagatie van onderzoek rechten eerst goed overdacht
-	wordt.</para>
-    </sect2>
+    <para>Deze audit representeert een succesvolle
+      <literal>execve</literal> aanroep, waarbij het commando
+      <literal>finger doug</literal> is aangeroepen.  Het argument token
+      bevat beide commando's gerepresenteerd door de shell aan de kernel
+      Het <literal>path</literal> token bevat het pad naar het uitvoerbare
+      bestand zoals opgezocht door de kernel.  Het <literal>attribute</literal>
+      token beschrijft de binary en om precies te zijn bevat het de bestands
+      mode welke gebruikt kan worden om te zien of het bestand setuid was.
+      Het <literal>subject</literal> token beschrijft het onderwerp proces
+      en bevat sequentieel het audit gebruikers ID, effectieve gebruikers ID
+      en groep ID, echte gebruikers ID, groep ID, proces ID, sessie ID,
+      port ID en login adres.  Let op dat het audit gebruikers ID en het
+      echte gebruikers ID van elkaar verschillen omdat de gebruiker
+      <systemitem class="username">robert</systemitem> veranderd is naar de
+      <systemitem class="username">root</systemitem> gebruiker voordat
+      het commando werd uitgevoerd, maar welke geaudit wordt als de
+      originele geauthoriseerde gebruiker.  Als laatste wordt de
+      <literal>return</literal> token gebruikt om aan te geven dat er
+      een succesvolle uitvoer is geweest en <literal>trailer</literal>
+      geeft het einde aan van het record.</para>
+
+    <para><acronym>XML</acronym> uitvoer formaat wordt ook ondersteund en
+      kan geselecteerd worden door gebruik te maken van de
+      <option>-x</option> optie.</para>
+
+    <para>Omdat audit logs erg groot kunnen worden, kan een subset van
+      records geselecteerd worden met <command>auditreduce</command>.
+      Dit voorbeeld selecteert alle audit records die geproduceert zijn
+      voor de gebruiker <systemitem class="username">trhodes</systemitem>
+      die opgeslagen zijn in het bestand
+      <filename>AUDITFILE</filename>:</para>
+
+    <screen>&prompt.root; <userinput>auditreduce -u <replaceable>trhodes</replaceable> /var/audit/<replaceable>AUDITFILE</replaceable> | praudit</userinput></screen>
+
+    <para>Leden van de <systemitem
+	class="groupname">audit</systemitem> groep krijgen permissie om de
+      audit trails te lezen in <filename>/var/audit</filename>; standaard
+      is deze <filename>/var/audit</filename>; standaard is deze
+      groep leeg en kan alleen de <systemitem
+	class="username">root</systemitem> gebruiker deze audit trails
+      lezen.  Gebruikers kunnen toegevoegd worden aan de <systemitem
+	class="groupname">audit</systemitem> groep zodat onderzoek rechten
+      kunnen worden gedelegeerd aan de geruiker.  Omdat de mogelijkheid van
+      het inzien van audit log inhoud significante inzicht kan geven
+      in het gedrag van gebruikers en processen, wordt het aangeraden
+      dat de delagatie van onderzoek rechten eerst goed overdacht
+      wordt.</para>
 
     <sect2>
       <title>Live monitoren door gebruik van audit pipes</title>
 
-      <para>Audit pipes zijn gecloonde pseudo-devices in het device
-	bestands systeem, welke applicaties toestaat om een tap te
-	plaatsen in de live audit record stream.  Dit is primair
-	interessant voor schrijvers van intrusion detection en systeem
-	monitoring applicaties.  Echter, voor een beheerder is het
+      <para>Audit pipes zijn gecloonde pseudo-devices welke applicaties
+	toestaat om een tap te plaatsen in de live audit record stream.
+	Dit is primair interessant voor schrijvers van intrusion detection
+	systeem monitoring applicaties.  Echter, voor een beheerder is het
 	audit pipe device een makkelijke manier om live monitoring toe
 	te staan zonder dat er problemen kunnen ontstaan met het
 	eigenaarschap van het audit trail bestand, of dat een log
@@ -678,9 +724,9 @@ trailer,133</programlisting>
       <screen>&prompt.root; <userinput>praudit /dev/auditpipe</userinput></screen>
 
       <para>Standaard zijn de audit pipe device nodes alleen toegankelijk
-	voor de <systemitem class="username">root</systemitem> gebruiker.  Om deze
-	toegankelijk te maken voor leden van de
-	<systemitem class="groupname">audit</systemitem> groep, moet een
+	voor de <systemitem class="username">root</systemitem> gebruiker.
+	Om deze toegankelijk te maken voor leden van de <systemitem
+	  class="groupname">audit</systemitem> groep, moet een
 	<literal>devfs</literal> regel toegevoegd worden aan het
 	<filename>devfs.rules</filename> bestand:</para>
 
@@ -693,13 +739,14 @@ trailer,133</programlisting>
 	<para>Het is makkelijk om audit evenement terugkoppeling
 	  cyclussen te creëeren, waarbij het tonen van elk audit
 	  evenement resulteert in het genereren van nog meer audit
-	  evenementen.  Bijvoorbeeld, als alle netwerk I/O wordt geaudit
-	  en &man.praudit.1; wordt gestart vanuit een SSH sessie, wordt
-	  er een grote continue stroom aan audit evenementen gegenereert
-	  doordat elk getoond evenement een nieuw evenement genereert.
-	  Het is verstandig om <command>praudit</command> te draaien op
-	  een audit pipe device voor sessies zonder diepgaande I/O
-	  auditing om te voorkomen dat dit gebeurd.</para>
+	  evenementen.  Bijvoorbeeld, als alle netwerk <acronym>I/O</acronym>
+	  wordt geaudit en <command>praudit</command> wordt gestart vanuit
+	  een <acronym>SSH</acronym> sessie, wordt er een grote continue stroom
+	  aan audit evenementen gegenereert doordat elk getoond evenement een
+	  nieuw evenement genereert.  Het is verstandig om
+	  <command>praudit</command> te draaien op een audit pipe device voor
+	  sessies zonder diepgaande <acronym>I/O</acronym> auditing om te
+	  voorkomen dat dit gebeurd.</para>
       </warning>
     </sect2>
 
@@ -707,30 +754,27 @@ trailer,133</programlisting>
       <title>Het roteren van audit trail bestanden</title>
 
       <para>Audit trails worden alleen beschreven door de kernel en
-	alleen beheerd worden door de audit daemon,
-	<application>auditd</application>.  Beheerders mogen geen
-	gebruik maken van &man.newsyslog.conf.5; of soortgelijke
-	programma's om de audit files te roteren.  In plaats daarvan kan
-	het <command>audit</command> management programma gebruikt worden
-	om auditing te stoppen, het audit systeem te herconfigureren en
-	log rotatie uit te voeren.  Het volgende commando zorgt ervoor
-	dat de audit daemon een nieuwe audit log maakt, en vervolgens
-	de kernel een signaal stuurt om het nieuwe logbestand te gaan
-	gebruiken.  Het oude logbestand wordt getermineerd en hernoemd,
-	waarna het bestand gemanipuleerd kan worden door de beheerder.</para>
+	alleen beheerd worden door de audit daemon, &man.auditd.8;.
+	Beheerders mogen geen gebruik maken van &man.newsyslog.conf.5;
+	of soortgelijke programma's om de audit files te roteren.  In
+	plaats daarvan kan het <command>audit</command> management
+	programma gebruikt worden om auditing te stoppen, het audit
+	systeem te herconfigureren en log rotatie uit te voeren.  Het
+	volgende commando zorgt ervoor dat de audit daemon een nieuwe
+	audit log maakt, en vervolgens de kernel een signaal stuurt om
+	het nieuwe logbestand te gaan gebruiken.  Het oude logbestand
+	wordt getermineerd en hernoemd, waarna het bestand gemanipuleerd
+	kan worden door de beheerder.</para>
 
       <screen>&prompt.root; <userinput>audit -n</userinput></screen>
 
-      <warning>
-	<para>Als de <application>auditd</application> daemon op dit
-	  moment niet actief is, zal het commando falen en
-	  zal er een error bericht worden geproduceerd.</para>
-      </warning>
+      <para>Als de <application>auditd</application> daemon op dit
+	moment niet actief is, zal het commando falen en
+	zal er een error bericht worden geproduceerd.</para>
 
       <para>Als de volgende regel wordt toegevoegd aan het
 	<filename>/etc/crontab</filename> bestand, zal er
-	elke twaalf uur een rotatie plaatsvinden door middel
-	van &man.cron.8;:</para>
+	elke twaalf uur een rotatie plaatsvinden</para>
 
       <programlisting>0     */12       *       *       *       root    /usr/sbin/audit -n</programlisting>
 
@@ -740,12 +784,8 @@ trailer,133</programlisting>
 
       <para>Automatische rotatie van het audit trail bestand gebaseerd
 	op de bestand grootte is mogelijk via de <option>filesz</option>
-	optie in &man.audit.control.5; en wordt beschreven in de
-	configuratie bestanden sectie van dit hoofdstuk.</para>
-    </sect2>
-
-    <sect2>
-      <title>Audit trails comprimeren</title>
+	optie in <filename>audit_control</filename> en wordt beschreven in
+	<xref linkend="audit-auditcontrol"/>.</para>
 
       <para>Omdat audit trail bestanden erg groot kunnen worden, is het
 	meestal gewenst om de trails te comprimeren of op een andere



Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201511041832.tA4IWKmH025269>