Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Формат конфигурационного файла не очень логичен, но с ним, тем не менее, достаточно просто работать. Однако, администраторам следует быть очень внимательными при изменении значений по умолчанию, поскольку это создает потенциальную опасность неправильного сбора данных системой аудита.
В конфигурационном файле могут использоваться как полные, так и сокращенные параметры. Соответствия будут приведены ниже.
Следующий список содержит все классы по умолчанию, присутствующие в файле audit_class:
• all - all - Соответствует всем классам событий.
• ad - administrative - Аудит административных действий, произошедших в системе.
• ap - application - Аудит события, вызванного каким-либо приложением.
• cl - file_close - Аудит вызовов системной функции close.
• ex - exec - Аудит запуска приложения. Аудит аргументов командной строки и переменных окружения контролируется через audit_control(5) используя параметры argv и envv в опции policy.
• fa - file_attr_acc - Аудит доступа к атрибутам объектов и их изменению, например через stat(1), pathconf(2), а также подобных этим событий.
• fc - file_creation - Аудит событий, в результате которых создаются файлы.
• fd - file_deletion - Аудит событий, в результате которых удаляются файлы.
• fm - file_attr_mod - Аудит событий, в результате которых изменяются атрибуты файлов, например, chown(8), chflags(1), flock(2).
• fr - file_read - Аудит событий, в результате которых происходит чтение данных, открываются файлы на чтение и т.п.
• fw - file_write - - Аудит событий, в результате которых происходит запись данных, изменение файлов и так далее.
• io - ioctl - Аудит вызовов системной функции ioctl(2).
• ip - ipc - Аудит различных видов взаимодействия процессов, включая создание не-именованных каналов (pipe) и взаимодействие процессов в стиле System V IPC.
• lo - login_logout - Аудит событий login(1) и logout(1).
• na - non_attrib - Аудит не-приписываемых событий.
• no - no_class - Пустой класс, используется для отключения аудита.
• nt - network - Аудит событий, связанных с сетевыми подключениями, например connect(2) и accept(2).
• ot - other - Аудит событий, не вошедших в другие классы.
• pc - process - Аудит действий процессов, таких как exec(3) и exit(3).
Эти классы событий могут быть настроены изменением конфигурационных файлов audit_class и audit_event.
Каждый класс комбинируется с префиксом, показывающим удачное или неудачное завершение операции.
• [пустой префикс] - Аудит проводится как для успешного, так и для ошибочного события. Например, просто указание класса без префикса приведет к занесению события в журнал при любом результате операции.
• + - Аудит только успешных событий.
• - - Аудит только ошибочных событий.
• ^ - Отключение аудита как успешных, так и ошибочных событий.
• ^- - Отключение аудита ошибочных событий.
• ^+ - Включение аудита успешных событий.
Следующий пример выбирает успешные и не-успешные события входа в систему и выхода из нее, и только успешные события исполнения файла:
lo,+ex
Дата публикования: 2015-01-10; Прочитано: 227 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!