Формат конфигурационного файла

Формат конфигурационного файла не очень логичен, но с ним, тем не менее, достаточно просто работать. Однако, администраторам следует быть очень внимательными при изменении значений по умолчанию, поскольку это создает потенциальную опасность неправильного сбора данных системой аудита.

В конфигурационном файле могут использоваться как полные, так и сокращенные параметры. Соответствия будут приведены ниже.

Следующий список содержит все классы по умолчанию, присутствующие в файле audit_class:

• all - all - Соответствует всем классам событий.

• ad - administrative - Аудит административных действий, произошедших в системе.

• ap - application - Аудит события, вызванного каким-либо приложением.

• cl - file_close - Аудит вызовов системной функции close.

• ex - exec - Аудит запуска приложения. Аудит аргументов командной строки и переменных окружения контролируется через audit_control(5) используя параметры argv и envv в опции policy.

• fa - file_attr_acc - Аудит доступа к атрибутам объектов и их изменению, например через stat(1), pathconf(2), а также подобных этим событий.

• fc - file_creation - Аудит событий, в результате которых создаются файлы.

• fd - file_deletion - Аудит событий, в результате которых удаляются файлы.

• fm - file_attr_mod - Аудит событий, в результате которых изменяются атрибуты файлов, например, chown(8), chflags(1), flock(2).

• fr - file_read - Аудит событий, в результате которых происходит чтение данных, открываются файлы на чтение и т.п.

• fw - file_write - - Аудит событий, в результате которых происходит запись данных, изменение файлов и так далее.

• io - ioctl - Аудит вызовов системной функции ioctl(2).

• ip - ipc - Аудит различных видов взаимодействия процессов, включая создание не-именованных каналов (pipe) и взаимодействие процессов в стиле System V IPC.

• lo - login_logout - Аудит событий login(1) и logout(1).

• na - non_attrib - Аудит не-приписываемых событий.

• no - no_class - Пустой класс, используется для отключения аудита.

• nt - network - Аудит событий, связанных с сетевыми подключениями, например connect(2) и accept(2).

• ot - other - Аудит событий, не вошедших в другие классы.

• pc - process - Аудит действий процессов, таких как exec(3) и exit(3).

Эти классы событий могут быть настроены изменением конфигурационных файлов audit_class и audit_event.

Каждый класс комбинируется с префиксом, показывающим удачное или неудачное завершение операции.

• [пустой префикс] - Аудит проводится как для успешного, так и для ошибочного события. Например, просто указание класса без префикса приведет к занесению события в журнал при любом результате операции.

• + - Аудит только успешных событий.

• - - Аудит только ошибочных событий.

• ^ - Отключение аудита как успешных, так и ошибочных событий.

• ^- - Отключение аудита ошибочных событий.

• ^+ - Включение аудита успешных событий.

Следующий пример выбирает успешные и не-успешные события входа в систему и выхода из нее, и только успешные события исполнения файла:

lo,+ex