Linux auditd.conf详解 |
您所在的位置:网站首页 › auditd 进程 › Linux auditd.conf详解 |
|
研究audit日志规则,本文为进程配置。 审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时, 一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个 目录或这个目录中的日志文件。log_file =/var/log/audit/audit.log 写日志时要使用的格式。当设置为RAW时,数据会以从内核中检索到的格式写到日志文件中。当设置 为NOLOG时,数据不会写到日志文件中,但是如果用dispatcher选项指定了一个,则数据仍然会发送 到审计事件调度程序中log_format = RAW 日志所属组log_group = root 审计应采用多少优先级推进守护进程。必须是非负数。0表示没有变化。priority_boost = 4 多长时间向日志文件中写一次数据。值可以是NONE、INCREMENTAL、DATA和SYNC之一。如果设置为 NONE,则不需要做特殊努力来将数据 刷新到日志文件中。如果设置为INCREMENTAL,则用freq选项 的值确定多长时间发生一次向磁盘的刷新。如果设置为DATA,则审计数据和日志文件一直是同步的。 如果设置为SYNC,则每次写到日志文件时,数据和元数据是同步的。flush = INCREMENTAL 如果flush设置为INCREMETNAL,审计守护进程在写到日志文件中前从内核中接收的记录数freq = 20 #max_log_file_action设置为ROTATE时要保存的日志文件数目。必须是0~99之间的数。如果设置为小于2, 则不会循环日志。如果递 增了日志文件的数目,就可能有必要递增/etc/audit/audit.rules中的内核 backlog设置值,以便留出日志循环的时间。如果没有设 置num_logs值,它就默认为0,意味着从来不循环日志文件。num_logs = 5 控制调度程序与审计守护进程之间的通信类型。有效值为lossy和lossless。如果设置为lossy, 若审计守护进程与调度程序之间的缓冲区已满 (缓冲区为128千字节),则发送给调度程序的引入 事件会被丢弃。然而,只要log_format没有设置为nolog,事件就仍然会写到磁盘中。如果设 置为lossless, 则在向调度程序发送事件之前和将日志写到磁盘之前,调度程序会等待缓冲区有足够的空间。disp_qos = lossy 当启动这个守护进程时,由审计守护进程自动启动程序。所有守护进程都传递给这个程序。可以用 它来进一步定制报表或者以与您的自定义分析程序兼容的不同格式 产生它们。自定义程序的示例 代码可以在/usr/share/doc/audit- /skeleton.c中找到。由于调度程序用根用户特权运行,因此使用 这个选项时要极其小心。这个选项不是必需的。dispatcher = /sbin/audispd 此选项控制计算机节点名如何插入到审计事件流中。它有如下的选择:none, hostname, fqd, numeric, and user None意味着没有计算机名被插入到审计事件中。hostname通过gethostname系统调用返回的名称。fqd意味着它=以主机名 和解决它与DNS的完全合格的域名,numeric类似于fqd除解决本机的IP地址,为了使用这个选项,你可能想要测试’hostname -i’ 或 ’domainname-i’返回一个数字地址,另外,此选项不如果DHCP的使用是因为你可以有不同的地址,在同一台机器上的时间推荐。 用户是从名称选项中定义的字符串。默认值是没有name_format = NONE ##name = mydomain 以兆字节表示的最大日志文件容量。当达到这个容量时,会执行max_log_file _action指定的动作max_log_file = 6 当达到max_log_file的日志文件大小时采取的动作。值必须是IGNORE、SYSLOG、SUSPEND、ROTATE和KEEP_LOGS之 一。 如果设置为IGNORE,则在日志文件达到max_log_file后不采取动作。如果设置为SYSLOG,则当达到文件容量时会向 系统日志/var /log/messages中写入一条警告。如果设置为SUSPEND,则当达到文件容量后不会向日志文件写入审计 消息。如果设置为ROTATE,则当达 到指定文件容量后会循环日志文件,但是只会保存一定数目的老文件,这个数目 由num_logs参数指定。老文件的文件名将为audit.log.N,其中 N是一个数字。这个数字越大,则文件越老。如果设 置为KEEP_LOGS,则会循环日志文件,但是会忽略num_logs参数,因此不会删除日志文件max_log_file_action = ROTATE 以兆字节表示的磁盘空间数量。当达到这个水平时,会采取space_left_action参数中的动作space_left = 75 当磁盘空间量达到space_left中的值时,采取这个动作。有效值为IGNORE、SYSLOG、EMAIL、SUSPEND、SINGLE和 HALT。 如果设置为IGNORE,则不采取动作。如果设置为SYSLOG,则向系统日志/var/log/messages写一条警告消息。如果设置为 EMAIL,则从action_mail_acct向这个地址发送一封电子邮件,并向/var/log/messages中写一条警告消息。如果设置为 SUSPEND,则不再向审计日志文件中写警告消息。如果设置为SINGLE,则系统将在单用户模式下。如果设置为SALT,则系统会关闭。space_left_action = SYSLOG 负责维护审计守护进程和日志的管理员的电子邮件地址。如果地址没有主机名,则假定主机名为本地地址,比如root。 必须安装sendmail并配置为向指定电子邮件地址发送电子邮件。action_mail_acct = root 以兆字节表示的磁盘空间数量。用这个选项设置比space_left_action更多的主动性动作,以防万一space_left_action没有让 管理员释放任何磁盘空间。这个值应小于space_left_action。如果达到这个水平,则会采取admin_space_left_ action所指定的动作。admin_space_left = 50 当自由磁盘空间量达到admin_space_left指定的值时,则采取动作。有效值为IGNORE、SYSLOG、EMAIL、SUSPEND、SINGLE和HALT。 与这些值关联的动作与space_left_action中的相同。admin_space_left_action = SUSPEND 如果含有这个审计文件的分区已满,则采取这个动作。可能值为IGNORE、SYSLOG、SUSPEND、SINGLE和HALT。与这些值关联的动作 与space_left_action中的相同。disk_full_action = SUSPEND 如果在写审计日志或循环日志文件时检测到错误时采取的动作。值必须是IGNORE、SYSLOG、SUSPEND、SINGLE和HALT之一。 与这些值关的动作与space_left_action中的相同disk_error_action = SUSPEND 这是在范围1、65535,一个数字值,如果指定,原因auditd听在从远程系统审计记录相应的TCP端口。审计程序可能与tcp_wrappers。 你可能想控制在hosts.allow入口访问和否认文件。##tcp_listen_port = 这是一个数字值,这表明有多少等待(要求但UNAC接受)的连接是允许的。默认值是5。设置过小的可能导致连接被拒绝, 如果太多主机开始在完全相同的时间,如电源故障后。tcp_listen_queue = 5 这是一个数字值,该值表示一个地址允许有多少个并发连接。默认为1,最大为1024。设置过大可能会允许拒绝服务攻击的日志服务器。 还要注意的是,内核内部有一个最大的,最终将防止这种即使auditd允许它通过配置。在大多数情况下,默认应该是足够除非写一个 自定义的恢复脚本运行提出未发送事件。在这种情况下,您将增加的数量只有足够大,让它在过。tcp_max_per_addr = 1 ##tcp_client_ports = 1024-65535 tcp_client_max_idle = 0 如果设置为“yes”,Kerberos 5将用于认证和加密。默认是“no”。enable_krb5 = no 这是这个服务器的主要。默认是“auditd”。鉴于这种默认情况下,服务器会寻找一个名为auditd/[email protected]存储在/etc/audit/audit.key 认证本身其中主机是服务器的主机名称,如DNS查找其IP地址返回。krb5_principal = auditd 这个客户的主要负责人的位置。请注意,密钥文件必须由根和模式0400所拥有。默认的是/etc/audit/audit.key |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |