Index of /handbook_rus/audit-config.html


16.4. Настройка системы аудита

Все конфигурационные файлы системы аудита находятся в каталоге /etc/security. Перед запуском даемона аудита там должны находиться следующие файлы:

16.4.1. Формат конфигурационного файла

Формат конфигурационного файла не очень логичен, но с ним, тем не менее, достаточно просто работать. Однако, администраторам следует быть очень внимательными при изменении значений по умолчанию, поскольку это создает потенциальную опасность неправильного сбора данных системой аудита.

В конфигурационном файле могут использоваться как полные, так и сокращенные параметры. Соответствия будут приведены ниже.

Следующий список содержит все поддерживаемые классы:

Далее перечислены все поддерживаемые префиксы:

Внимание: Использование класса all с любым префиксом может привести к генерации огромного количества данных с очень большой частотой.

Дополнительные префиксы, которые могут использоваться для изменения настроек по умолчанию:

16.4.2. Конфигурационные файлы

В большинстве случаев администратору придётся вносить изменения только в два конфигурационных файла системы аудита: audit_control и audit_user. Первый из них содержит общие настройки системы аудита и установки по умолчанию как для приписываемых, так и для не-приписываемых событий. Второй используется для настройки аудита пользовательских событий.

16.4.2.1. Файл audit_control

Файл audit_control содержит настройки по умолчанию, которые, возможно, потребуется изменить. Содержимое этого файла:

dir:/var/audit
flags:lo
minfree:20
naflags:lo

Параметр dir указывает каталог, в котором будет сохраняться журнал системы аудита. Как правило, система аудита конфигурируется таким образом, что журнал аудита хранится на отдельном разделе, чтобы предотвратить сбои в работе операционной системы, если свободное месте на разделе системы аудита будет исчерпано.

Параметр flags используется для установки глобальных опций. Значение этого параметра lo настраивает аудит для всех событий login(1) и logout(1). Более подробный пример:

dir:/var/audit
flags:lo,ad,-all,^-fa,^-fc,^-cl
minfree:20
naflags:lo

Такое значение параметра flags приведёт к аудиту всех событий login(1) и logout(1), всех административных событий, всех ошибочных системных событий и, наконец, отключает аудит всех ошибочных событий классов fa, fc и cl. Несмотря на то, что параметр -all указывает на необходимость аудита всех системных событий, префикс ^- отменяет это поведение для всех последующих опций.

Заметьте, что значения считываются слева направо. Поэтому находящиеся справа значения переопределяют значения, находящиеся слева.

Параметр minfree определяет минимальное значение свободного дискового пространства на разделе, в который сохраняются файлы журналов аудита. Например, если значение параметра dir установлено в /var/audit, а параметр minfree равен двадцати (20), то предупреждающее сообщение будет выдано, когда раздел /var будет заполнен на восемьдесят (80%) процентов.

Параметр naflags определяет классы аудита для не-приписываемых событий, то есть событий, для которых не определён конкретный пользователь.

16.4.2.2. Файл audit_user

Файл audit_user позволяет администратору определить классы событий, аудит которых будет производиться для каждого пользователя системы.

По умолчанию файл audit_user содержит:

root:lo:no
audit:fc:no

Обратите внимание: по умолчанию производится аудит всех login/logout событий и отключается аудит всех других событий для пользователя root. Эта конфигурация также включает аудит всех событий, связанных с созданием файлов и отключает аудит всех других событий для пользователя audit. Хотя использование системы аудита не требует наличия в системе специального пользователя, в некоторых конфигурациях, особенно использующих MAC (Mandatory Access Control), это может быть необходимо.

Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

По вопросам связанными с FreeBSD, прочитайте документацию прежде чем писать в <questions@FreeBSD.org>.
По вопросам связанным с этой документацией, пишите <doc@FreeBSD.org>.
По вопросам связанным с русским переводом документации, пишите в рассылку <frdp@FreeBSD.org.ua>.
Информация по подписке на эту рассылку находится на сайте проекта перевода.


HIVE: All information for read only. Please respect copyright!
Hosted by hive йца: йХЕБЯЙЮЪ ЦНПНДЯЙЮЪ АХАКХНРЕЙЮ