Сентябрь 2021
auditd - демон аудита Linux
auditd [-f] [-l] [-n] [-s disable|enable|nochange] [-c <config_dir>]
auditd - это прикладной компонент системы аудита Linux. Он ведёт протокол аудита на диске. Для просмотра протоколов предназначены команды ausearch и aureport. Настройка системы аудита и загрузка правил выполняется с помощью команды auditctl. Кроме того, при загрузке auditctl читает правила из файла /etc/audit/audit.rules и загружает их в ядро. Кроме того, существует также программа augenrules, которая читает правила, расположенные в /etc/audit/rules.d/, и компилирует их в файл audit.rules. У демона аудита есть некоторые параметры конфигурации, которые администратор может настроить. Их можно найти в файле auditd.conf.
не переходить в фоновый режим (для отладки). Сообщения программы будут направляться в стандартный вывод для ошибок (stderr), а не в журнал аудита.
включить следование по символическим ссылкам при поиске конфигурационных файлов.
не создавать дочерний процесс. Для запуска из inittab или systemd.
указать, должен ли auditd при старте изменять текущее значение флага ядра — enabled. Допустимые значения ENABLE_STATE: disable, enable и nochange. Значение по умолчанию — enable (и disable когда auditd остановлен). Значение флага может быть изменено во время жизненного цикла auditd с помощью 'auditctl -e'.
Указать альтернативный каталог конфигурационного файла (по умолчанию: /etc/audit/).
перезагрузить конфигурацию auditd. Это значит, что auditd повторно считывает файл конфигурации. Если в файле не окажется синтаксических ошибок, внесенные в него изменения вступят в силу. При этом в протокол будет добавлена запись о событии DAEMON_CONFIG. В противном случае действия службы будут зависеть от следующих параметров в файле auditd.conf: space_left_action, admin_space_left_action, disk_full_action и disk_error_action.
произвести ротацию файлов журналов auditd. Создать новый файл для протокола, перенумеровав старые файлы или удалив часть из них, в зависимости от параметра max_log_file_action.
произвести ротацию файлов журналов auditd. Создать новый файл для протокола, перенумеровав старые файлы или удалив часть из них, в зависимости от параметра max_log_file_action.
попытаться возобновить ведение журнала и передачу событий плагинам. Обычно это необходимо после приостановки ведения журнала или переполнения внутренней очереди. Любое из этих условий зависит от применимых параметров конфигурации.
выгружать отчет о внутреннем состоянии в /var/run/auditd.state.
Не удается настроить приоритет, запустить в фоне, открыть сетевую ссылку аудита, записать pid-файл, плагины запуска, разрешить имя компьютера, установить pid аудита или другие задачи инициализации.
Недопустимые или избыточные аргументы командной строки
Демон аудита не обладает достаточными привилегиями
В конфигурационном файле обнаружена ошибка
/etc/audit/auditd.conf - файл конфигурации демона аудита
/etc/audit/audit.rules - правила аудита (загружается при запуске службы)
/etc/audit/rules.d/ - каталог, содержащий отдельные наборы правил, которые будут скомпилированы в один файл инструментом augenrules.
/etc/audit/plugins.d/ - каталог, содержащий отдельные файлы конфигурации плагина.
/etc/audit/audit-stop - эти правила загружаются при остановке демона аудита.
/var/run/auditd.state - отчет о внутреннем состоянии.
Для того чтобы сделать возможным аудит всех процессов, запущенных до демона аудита, необходимо добавить в строку параметров ядра (в конфигурации загрузчика) audit=1. В противном случае аудит некоторых процессов будет невозможен.
Демон аудита может получать события аудита от других демонов аудита через плагин audisp-remote. Демон аудита может быть связан с tcp_wrappers, чтобы контролировать, какие машины могут подключаться. В этом случае можно добавить запись в hosts.allow и отказать в соединении.
auditd.conf(5), auditd-plugins(5), ausearch(8), aureport(8), auditctl(8), augenrules(8), audit.rules(7).
Steve Grubb
Русский перевод этой страницы руководства: Александра Богданова <support@astralinux.ru>
Этот перевод является бесплатной документацией; прочитайте Стандартную общественную лицензию GNU версии 3 или более позднюю, чтобы узнать об условиях авторского права. Мы не несем НИКАКОЙ ОТВЕТСТВЕННОСТИ.
Если вы обнаружите ошибки в переводе этой страницы руководства, пожалуйста, отправьте электронное письмо на .