Index of /handbook/audit-administration.html |
Журнал событий, записываемый ядром системы аудита не может быть прочитан или отредактирован как простой текст. Данные сохраняются и считываются методами, схожими с ktrace(1) и kdump(1), поэтому, журналы можно просмотреть только с помощью команды praudit. Информация из журналов может быть отфильтрована при помощи команды auditreduce, которая выбирает записи из журналов, основываясь на определённых параметрах, таких как пользователь, время события или тип операции.
Например, praudit может вывести всё содержимое определённого журнала в текстовом формате. Для этого выполните команду:
# praudit /var/audit/AUDITFILE
Здесь AUDITFILE - имя файла журнала по вашему выбору. Поскольку, файлы журналов могут содержать гигантское количество данных, администратору может понадобиться выбирать записи событий только одного пользователя. Это возможно с помощью следующей команды, в которой trhodes - имя пользователя:
# auditreduce -e trhodes /var/audit/AUDITFILE | praudit
Результатом будет выборка из файла AUDITFILE всех событий, связанных с пользователем trhodes.
Есть ряд других параметров для чтения журналов аудита, для более детального изучения смотрите страницу справки команды praudit.
Исходя из соображений безопасности, запись в журнал аудита производится только ядром системы; все управление журналом осуществляется даемоном auditd. Администраторы не должны пытаться использовать newsyslog.conf(5) или другие инструменты для прямой ротации логов системы аудита. Вместо этого, для остановки, переконфигурации системы аудита и для ротации лог-файлов используйте утилиту управления audit. Следующая команда заставит даемон auditd создать новый лог-файл и переключить систему аудита на его использование. Старый лог-файл будет переименован:
# audit -n
Внимание: Если даемон auditd не запущен, команда завершится с ошибкой.
Добавление следующей строки в файл /etc/crontab приведёт к автоматической ротации лог-файлов каждые двенадцать часов при помощи cron(8):
* */12 * * * root /usr/sbin/audit -n
Изменения вступят в силу сразу же после сохранения файла /etc/crontab.
По умолчанию, только пользователь root имеет право просматривать журналы аудита. Тем не менее, эти права могут быть переданы, например, пользователям, входящим в группу audit. Для этого необходимо передать каталог системы аудита и файлы журналов аудита группе audit. После этого нужно дать группе права на чтение каталога и находящихся в нём файлов. Например, если раздел журналов аудита смонтирован в /var/audit, нужно выполнить команды:
# chown -R :audid /var/audit # chmod -R g+r /var/audit
Содержимое журнала аудита дает много информации о взаимодействии пользователей, процессов и функционировании системы в целом. Поэтому рекомендуется передавать права на работу с журналами аудита с большой осмотрительностью.
Пред. | Начало | След. |
Настройка системы аудита | Уровень выше | Устройства хранения |
Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
По вопросам связанными с FreeBSD, прочитайте документацию прежде чем писать в <questions@FreeBSD.org>.
По вопросам связанным с этой документацией, пишите <doc@FreeBSD.org>.
По вопросам связанным с русским переводом документации, пишите в рассылку <frdp@FreeBSD.org.ua>.
Информация по подписке на эту рассылку находится на сайте проекта перевода.
HIVE: All information for read only. Please respect copyright! |