Лекция: Формат конфигурационного файла

Формат конфигурационного файла не очень логичен, но с ним, тем не менее, достаточно просто работать. Однако, администраторам следует быть очень внимательными при изменении значений по умолчанию, поскольку это создает потенциальную опасность неправильного сбора данных системой аудита.

В конфигурационном файле могут использоваться как полные, так и сокращенные параметры. Соответствия будут приведены ниже.

Следующий список содержит все классы по умолчанию, присутствующие в файле audit_class:

• all — all — Соответствует всем классам событий.

• ad — administrative — Аудит административных действий, произошедших в системе.

• ap — application — Аудит события, вызванного каким-либо приложением.

• cl — file_close — Аудит вызовов системной функции close.

• ex — exec — Аудит запуска приложения. Аудит аргументов командной строки и переменных окружения контролируется через audit_control(5) используя параметры argv и envv в опции policy.

• fa — file_attr_acc — Аудит доступа к атрибутам объектов и их изменению, например через stat(1), pathconf(2), а также подобных этим событий.

• fc — file_creation — Аудит событий, в результате которых создаются файлы.

• fd — file_deletion — Аудит событий, в результате которых удаляются файлы.

• fm — file_attr_mod — Аудит событий, в результате которых изменяются атрибуты файлов, например, chown(8), chflags(1), flock(2).

• fr — file_read — Аудит событий, в результате которых происходит чтение данных, открываются файлы на чтение и т.п.

• fw — file_write — - Аудит событий, в результате которых происходит запись данных, изменение файлов и так далее.

• io — ioctl — Аудит вызовов системной функции ioctl(2).

• ip — ipc — Аудит различных видов взаимодействия процессов, включая создание не-именованных каналов (pipe) и взаимодействие процессов в стиле System V IPC.

• lo — login_logout — Аудит событий login(1) и logout(1).

• na — non_attrib — Аудит не-приписываемых событий.

• no — no_class — Пустой класс, используется для отключения аудита.

• nt — network — Аудит событий, связанных с сетевыми подключениями, например connect(2) и accept(2).

• ot — other — Аудит событий, не вошедших в другие классы.

• pc — process — Аудит действий процессов, таких как exec(3) и exit(3).

Эти классы событий могут быть настроены изменением конфигурационных файлов audit_class и audit_event.

Каждый класс комбинируется с префиксом, показывающим удачное или неудачное завершение операции.

• [пустой префикс] — Аудит проводится как для успешного, так и для ошибочного события. Например, просто указание класса без префикса приведет к занесению события в журнал при любом результате операции.

• + — Аудит только успешных событий.

• — - Аудит только ошибочных событий.

• ^ — Отключение аудита как успешных, так и ошибочных событий.

• ^- — Отключение аудита ошибочных событий.

• ^+ — Включение аудита успешных событий.

Следующий пример выбирает успешные и не-успешные события входа в систему и выхода из нее, и только успешные события исполнения файла:

lo,+ex