返回
linux内核2.6以上自带的审计模块audit

linux内核2.6以上自带的审计模块audit

ID:18777157

大小:131.50 KB

页数:10页

时间:2018-09-23

linux内核2.6以上自带的审计模块audit_第1页
linux内核2.6以上自带的审计模块audit_第2页
linux内核2.6以上自带的审计模块audit_第3页
linux内核2.6以上自带的审计模块audit_第4页
linux内核2.6以上自带的审计模块audit_第5页
资源描述:

《linux内核2.6以上自带的审计模块audit》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、linux内核2.6以上版本自带的审计模块audit查看linux下是否已安装audit模块:rpm–qa

2、grepaudit启动audit模块:auditd启动审计:serviceauditdstart/var/log/audit只有根用户有读、写和执行权限。所有其他用户都不能访问这个目录或这个目录中的日志文件chmod600/var/log/auditchmod600/var/log/audit/audit.log25.1配置审计守护进程默认审计守护进程参数/etc/audit/auditd

3、.conf可以配置下面这些选项:log_file审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时,一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个目录或这个目录中的日志文件。log_format写日志时要使用的格式。当设置为RAW时,数据会以从内核中检索到的格式写到日志文件中。当设置为NOLOG时,数据不会写到日志文件中,但是如果用dispatcher选项指定了一个,则数据仍然会发送到审计事件调度程序中

4、。priority_boost    审计应采用多少优先级推进守护进程。必须是非负数。0表示没有变化。flush多长时间向日志文件中写一次数据。值可以是NONE、INCREMENTAL、DATA和SYNC之一。如果设置为NONE,则不需要做特殊努力来将数据刷新到日志文件中。如果设置为INCREMENTAL,则用freq选项的值确定多长时间发生一次向磁盘的刷新。如果设置为DATA,则审计数据和日志文件一直是同步的。如果设置为SYNC,则每次写到日志文件时,数据和元数据是同步的。freq如果flus

5、h设置为INCREMETNAL,审计守护进程在写到日志文件中前从内核中接收的记录数。num_logsmax_log_file_action设置为ROTATE时要保存的日志文件数目。必须是0~99之间的数。如果设置为小于2,则不会循环日志。如果递增了日志文件的数目,就可能有必要递增/etc/audit/audit.rules中的内核backlog设置值,以便留出日志循环的时间。如果没有设置num_logs值,它就默认为0,意味着从来不循环日志文件。dispatcher当启动这个守护进程时,由审计守

6、护进程自动启动程序。所有守护进程都传递给这个程序。可以用它来进一步定制报表或者以与您的自定义分析程序兼容的不同格式产生它们。自定义程序的示例代码可以在/usr/share/doc/audit-/skeleton.c中找到。由于调度程序用根用户特权运行,因此使用这个选项时要极其小心。这个选项不是必需的。disp_qos控制调度程序与审计守护进程之间的通信类型。有效值为lossy和lossless。如果设置为lossy,若审计守护进程与调度程序之间的缓冲区已满(缓冲区为128千字节

7、),则发送给调度程序的引入事件会被丢弃。然而,只要log_format没有设置为nolog,事件就仍然会写到磁盘中。如果设置为lossless,则在向调度程序发送事件之前和将日志写到磁盘之前,调度程序会等待缓冲区有足够的空间。max_log_file以兆字节表示的最大日志文件容量。当达到这个容量时,会执行max_log_file_action指定的动作。max_log_file_action当达到max_log_file的日志文件大小时采取的动作。值必须是IGNORE、SYSLOG、SUSPEN

8、D、ROTATE和KEEP_LOGS之一。如果设置为IGNORE,则在日志文件达到max_log_file后不采取动作。如果设置为SYSLOG,则当达到文件容量时会向系统日志/var/log/messages中写入一条警告。如果设置为SUSPEND,则当达到文件容量后不会向日志文件写入审计消息。如果设置为ROTATE,则当达到指定文件容量后会循环日志文件,但是只会保存一定数目的老文件,这个数目由num_logs参数指定。老文件的文件名将为audit.log.N,其中N是一个数字。这个数字越大,则

9、文件越老。如果设置为KEEP_LOGS,则会循环日志文件,但是会忽略num_logs参数,因此不会删除日志文件。space_left以兆字节表示的磁盘空间数量。当达到这个水平时,会采取space_left_action参数中的动作。space_left_action当磁盘空间量达到space_left中的值时,采取这个动作。有效值为IGNORE、SYSLOG、EMAIL、SUSPEND、SINGLE和HALT。如果设置为IGNORE,则不采取动作。如果设置为SYSLOG,则向系统日志/var/l

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。