Служба аудита auditd

Синтаксис и опции
Описание конфигурации auditd.conf

Окружение

• Версия ОС: 8
• Конфигурация ОС: Рабочая станция
• Версия ПО: audit-3.1.3-1

Служба auditd — это прикладной компонент системы аудита Linux, который ведёт журнал аудита. Для просмотра протоколов предназначены команды ausearch и aureport. Команда auditctl позволяет настраивать правила аудита. При старте службы вызывается инструмент augenrules, который объединяет правила аудита из подкаталога /etc/audit/rules.d/ в результирующий файл /etc/audit/audit.rules и загружает их в ядро. Некоторые параметры службы можно изменить в файле /etc/audit/auditd.conf (будет рассмотрено ниже).

Синтаксис и опции

Утилита доступна для запуска через терминал при помощи команды следующего вида:

auditd [-f] [-l] [-n] [-s disable|enable|nochange] [-c <каталог_конфигураций>]

Опции:

Опция	Значение опции
-f	Не переходить в фоновый режим (для отладки). Сообщения программы будут направляться в стандартный вывод для ошибок (stderr), а не в журнал аудита.
-l	Разрешить переход по символическим ссылкам при загрузке конфигурационных файлов.
-n	Не создавать дочерний процесс при запуске.
-s <disable|enable|nochange>	Определяет, нужно ли изменить текущее значение флага аудита в ядре в момент запуска auditd. По умолчанию — enable (включить) при старте, и disable при завершении процесса auditd. Значение флага может быть изменено в процессе работы auditd командой auditctl -e.
-с	Использовать альтернативный каталог загрузки конфигураций (каталог по умолчанию: /etc/audit/).

Сигналы:

Сигнал	Значение сигнала
SIGHUP	Вызывает перезагрузку конфигурации из файла на диске. Если в файле не окажется синтаксических ошибок, внесённые в него изменения вступят в силу. При этом в протокол будет добавлена запись о событии DAEMON_CONFIG. В противном случае действия службы будут зависеть от параметров space_left_action, admin_space_left_action, disk_full_action, disk_error_action файла auditd.conf.
SIGTERM	Вызывает прекращение обработки событий аудита и завершение работы службы, о чём предварительно производится запись в протокол.
SIGUSR1	Вызывает немедленную ротацию журналов. Действие над файлами журнала будет определено параметром max_log_file_action.
SIGUSR2	auditd попытается возобновить ведение журнала и передачу событий плагинам. Обычно это требуется после приостановки ведения журнала или переполнения внутренней очереди. Конкретные условия зависят от применённых настроек конфигурации.
SIGCONT	Вызывает создание отчёта о состоянии службы в файл /var/run/auditd.state.

Описание конфигурации auditd.conf

В файле /etc/audit/auditd.conf определяются параметры службы аудита. На одной строке допустимо наличие ключевого слова (названия параметра), знака равенства и соответствующих ему данных (значения параметра). Имена ключевых слов распознаются независимо от их регистра. Любая строка, длина которой превысит 160 символов, будет пропущена. Строка комментария должна начинаться с символа '#'.

Допустимые ключевые слова и их пояснение представлены в таблице ниже.

Ключ	Значение ключа
local_events	Значение ключа (yes или no) определяет, включать ли в журнал локальные события. Значение устанавливается в no, когда необходимо агрегировать только те события аудита, которые поступили из сети. Также это может быть полезно, если служба аудита работает в контейнере. Параметр может быть установлен только один раз — при запуске службы. Перезагрузка конфигурационного файла не оказывает на него влияния. Значение по умолчанию: yes.
log_file	Полный путь к файлу журнала для хранения записей аудита. Должен быть указан обычный файл.
write_logs	Значение ключа (yes или no) определяет, записывать ли журнал на диск. Значение по умолчанию: yes.
log_format	Указывает формат, в котором информация должна храниться на диске. Принимается два варианта: raw и enriched. Если установлено значение RAW, записи аудита будут храниться в том формате, в котором их отправляет ядро. Установка значения ENRICHED включит дополнительные данные с разрешением (перевод идентификатора в его текстовое значение) всей информации — uid, gid, системном вызове, архитектуре и адресе сокета — перед записью события на диск. Это помогает анализировать события, созданные в одной системе, но просматриваемые/анализируемые в другой системе. Параметр NOLOG устарел. Теперь вместо указания данного значения следует установить значение no для ключа write_logs.
log_group	Значение ключа определяет группу, которая устанавливается для файла журнала. Значение может быть как числовым (GID), так и буквенным. Значение по умолчанию: root.
priority_boost	Неотрицательное число, которое указывает насколько нужно увеличить приоритет демону аудита. Для запуска без изменения приоритета необходимо указать 0. Значение по умолчанию: 4.
flush	Позволяет выбрать поведение синхронизации данных с диском. Допустимые значения ключа: none — не предпринимать дополнительных действий для сброса записей аудита на диска из буфера; incremental — выполнять явный сброс данных буфера на диск с частотой, указанной в параметре freq; incremental_async — поведение схоже на применение incremental, за исключением того, что сброс данных на диск выполняется асинхронно для повышения производительности; data — данные журнала на диске постоянно синхронизировать при каждой записи; sync — данные и метаданные журнала на диске немедленно синхронизировать при каждой записи. Значение по умолчанию: incremental_async.
freq	Задаёт число записей аудита, которое должно быть отправлено в файл журнала перед вызовом сброса данных буфера на диск. Применимо только к режимам incremental и incremental_async, установленным в ключе flush.
num_logs	Значение ключа (от 0 до 999) устанавливает количество файлов журнала, которые необходимо сохранить, если в ключе max_log_file_action указано rotate. Указание значений менее 2 отключает ротацию журналов. При установке большего количества сохраняемых файлов журнала может потребоваться увеличить размер буфера ядра (kernel backlog), поскольку ротация журналов будет занимать больше времени. Обычно размер буфера настраивается в /etc/audit/audit.rules. При настроенной ротации журналов демон определит и удалит лишние из них, чтобы освободить место на диске. Проверка необходимости удаления файлов журнала выполняется при запуске службы, а также в том случае, если в результате изменения настроек выполняется проверка свободного места. Значение по умолчанию: 0
name_format	Этот ключ определяет, как имена компьютерных узлов вставляются в поток событий аудита. Допустимые значения: none — в событии аудита имя компьютера не использовать; hostname — использовать значение возвращаемое системным вызовом gethostname; fqd — использовать полученное с помощью DNS полное доменное имя хоста; numeric — аналогично fqd, за исключением того, что определяется IP-адрес хоста. Перед включением данной опции необходимо убедиться, что команды hostname -i или domainname -i возвращают IP-адрес. Кроме того, не рекомендуется использовать данную опцию в случае настройки IP-адреса хоста посредством DHCP из-за вероятности его изменения со временем; user — использовать строку, определённую значением ключа name. Значение по умолчанию: none.
name	Идентификатор узла, используемый при выборе опции user в ключе name_format.
max_log_file	Максимальный размер файла журнала в мегабайтах. При достижении этого размера будет выполнено действие, которое сконфигурировано значением ключа max_log_file_action.
max_log_file_action	Ключ указывает системе действие, которое необходимо предпринять при обнаружении достижения максимального размера файла журнала. Допустимые значения: ignore — не предпринимать никаких действий; syslog — отправить предупреждение о данном событии в журнал системы; suspend — прекратить запись в журнал аудита на диск (служба аудита при этом не останавливается); rotate — произвести ротацию журналов аудита. Чем старше журнал, тем больше его номер (идентично поведению logrotate); keep_logs — выполнить действия идентично опции rotate, но без учёта значения ключа num_logs, что предотвратит перезапись журналов. Файлы журналов будут накапливаться до срабатывания действия ключа space_left_action в результате заполнения тома. Данную опцию лучше всего использовать в сочетании с периодической архивацией журналов внешними средствами.
verify_email	Значение ключа (yes или no) определяет необходимость проверки разрешения домена из адреса электронной почты, заданного в параметре action_mail_acct. Этот ключ необходимо указывать до action_mail_acct, иначе будет установлено значение по умолчанию — yes.
action_mail_acct	Этот ключ должен содержать действительный адрес электронной почты или псевдоним. Если адрес электронной почты не является локальным для компьютера, необходимо убедиться, что локальная и удалённая настройка электронной почты выполнена верно. Кроме того, для работы этого ключа требуется, чтобы на компьютере присутствовал файл /usr/lib/sendmail. Значение по умолчанию: root.
space_left	Числовое значение в мегабайтах, которое указывает границу свободного пространства (в файловой системе, содержащей файлы журналов), ниже которой должно быть вызвано действие ключа space_left_action. Если значение задано в виде числа, то оно будет обозначать размер в мегабайтах. Если значение задано в виде числа от 1 до 99 со знаком «%» в конце, то служба аудита посчитает абсолютный размер в мегабайтах, исходя из общего объёма файловой системы, на которой расположены файлы журнала. Например, если размер раздела, на котором находится каталог log_file равен 2Гб, а значение ключа равно «25%», то фактическое значение этого ключа будет приблизительно равняться «500» (в мегабайтах). Учтите, что такое вычисление происходит только при старте службы аудита. Если после её запуска размер файловой системы, содержащей журналы, будет изменён, то необходимо отправить службе аудита сигнал SIGHUP для повторного считывания конфигурации и пересчёта данного ключа.
space_left_action	Этот ключ определяет действие, выполняемое при начале обнаружения исчерпания места на диске, когда свободное пространство становится меньше значения ключа space_left. Допустимые значения: ignore — не предпринимать никаких действий; syslog — отправить предупреждение о данном событии в журнал системы; rotate — произвести ротацию журналов аудита с удалением старейших из них для освобождения пространства; email — отправить письмо с предупреждением на адрес из ключа action_mail_acct и сделать запись в журнал syslog; exec /путь_к_скрипту — выполнить указанный скрипт. Передача параметров скрипту невозможна. Кроме того, в нём должно быть реализовано действие, заставляющее службу аудита возобновить ведение журнала после завершения необходимых операций. Этим действием может быть вызов команды service auditd resume; suspend — прекратить запись в журнал аудита на диск. Служба аудита при этом не останавливается; single — перевести систему в однопользовательский режим (single user mode); halt — выключить систему. Выбранное в ключе действие выполняется однократно (за исключением rotate).
admin_space_left	Числовое значение в мегабайтах, которое указывает границу свободного пространства (в файловой системе, содержащей файлы журналов), ниже которой должно быть вызвано действие ключа admin_space_left_action. Это порог для попытки выполнения действий перед окончательным исчерпанием пространства. Значение этого ключа следует установить меньше, чем для space_left_action. Можно указать в процентном отношении (подробное описание дано выше в space_left_action).
admin_space_left_action	Этот ключ определяет действие при приближении к полному исчерпанию места на диске, когда свободное пространство становится меньше значения ключа admin_space_left. Допустимые значения: ignore — не предпринимать никаких действий; syslog — отправить предупреждение о данном событии в журнал системы; rotate — произвести ротацию журналов аудита с удалением старейших из них для освобождения пространства; email — отправить письмо с предупреждением на адрес из ключа action_mail_acct и сделать запись в журнал syslog; exec /путь_к_скрипту — выполнить указанный скрипт. Передача параметров скрипту невозможна. Кроме того, в нём должно быть реализовано действие, заставляющее службу аудита возобновить ведение журнала после завершения необходимых операций. Этим действием может быть вызов команды service auditd resume; suspend — прекратить запись в журнал аудита на диск. Служба аудита при этом не останавливается; single — перевести систему в однопользовательский режим (single user mode); halt — выключить систему. Выбранное в ключе действие выполняется однократно (за исключением rotate).
disk_full_action	Ключ указывает действие, которое необходимо выполнить при полном исчерпании свободного пространства хранилища, на котором расположены журналы. Допустимые значения: ignore — отправить сообщение в журнал системы, никаких действий более не выполнять; syslog — отправить предупреждение о данном событии в журнал системы; rotate — произвести ротацию журналов аудита с удалением старейших из них для освобождения пространства; exec /путь_к_скрипту — выполнить указанный скрипт. Передача параметров скрипту невозможна. Кроме того, в нём должно быть реализовано действие, заставляющее службу аудита возобновить ведение журнала после завершения необходимых операций. Этим действием может быть вызов команды service auditd resume; suspend — прекратить запись в журнал аудита на диск. Служба аудита при этом не останавливается; single — перевести систему в однопользовательский режим (single user mode); halt — выключить систему.
disk_error_action	Ключ указывает действие, которое необходимо выполнить при обнаружении ошибки в процессе: записи сообщений аудита в журнал на диске, ротации журналов. Допустимые значения: ignore — не предпринимать никаких действий; syslog — отправить не более 5 последовательных предупреждений в журнал системы; exec /путь_к_скрипту — выполнить указанный скрипт. Передача параметров скрипту невозможна; suspend — прекратить запись в журнал аудита на диск. Служба аудита при этом не останавливается; single — перевести систему в однопользовательский режим (single user mode); halt — выключить систему.
tcp_listen_port	Задаёт номер TCP-порта, на котором служба аудита будет принимать сообщения аудита от удалённых систем. Допустимые значения ключа: 1 — 65535. Служба аудита может быть связана с tcp_wrappers, и настроен доступ посредством записей в файлах конфигурации hosts.allow и hosts.deny. При использовании сбора сообщений от удалённых систем следует изменить директиву «After» в службе auditd согласно комментариям в файле службы (systemctl cat auditd).
tcp_listen_queue	Задаёт максимально допустимое количество ожидающих подключений (запрошенных, но пока не принятых). Указание слишком низкого значения может привести к отказам в соединении при большом количестве одновременно запускающихся удалённых хостов, например, после сбоя питания. Использование ключа необходимо только для хостов, которые собирают сообщения с удалённых систем. На клиентах, которые отправляют сообщения аудита на удалённый сервер, этот ключ следует закомментировать. Значение по умолчанию: 5.
tcp_max_per_addr	Задаёт максимально допустимое количество одновременных соединений с одного IP-адреса. Максимальное значение: 1024. Указание слишком большого значения упростит атаку отказа в обслуживании (DoS) на сервер журналирования. Помните, что ядро имеет внутренний лимит соединений, который может также привести к отказу в подключении, несмотря на разрешающее действие данного ключа. Значения по умолчанию достаточно для большинства случаев за исключением тех, когда скрипт или иное ПО запускаются для передачи ранее неотправленных (в результате сбоя) сообщений аудита. Даже в этом случае значение ключа должно быть установлено достаточным для этих задач, но не избыточно высоким. Значение по умолчанию: 1.
use_libwrap	Значение ключа (yes или no) и определяет, следует ли использовать tcp_wrappers для распознавания попыток подключения с разрешённых компьютеров. Значение по умолчанию: yes.
tcp_client_ports	Число или два числа, разделённых знаком «—» (без пробелов), определяют, с каких удалённых портов клиентов допустимо принимать подключения. Например, для ограничения использования клиентом только привилегированных исходящих портов необходимо указать значение 1-1024. Также потребуется установить параметр local_port на клиентах в файле audisp-remote.conf. Ограничение клиентов использованием привилегированных портов применяется в качестве средства безопасности, предотвращающего получение и обработку сообщений, отправленных недоверенным пользователем с непривилегированного порта.
tcp_client_max_idle	Устанавливает количество секунд, через которое неактивное (без передачи данных) соединение будет разорвано. Используется для сброса соединений, которые клиент по какой-либо причине не смог завершить корректно. Это глобальный параметр, который должен быть минимум в два раза выше значения параметра heartbeat_timeout на каждом из клиентов (в файле audisp-remote.conf).
transport	Ключ позволяет выбрать способ передачи сообщений. Допустимые значения: TCP — будет использована незашифрованная передача данных по протоколу TCP; KRB5 — будет использован протокол Kerberos 5 для аутентификации и шифрования. Значение по умолчанию: TCP.
enable_krb5	Этот ключ устарел. Вместо него следует использовать transport. Если значение yes, то будет использован протокол Kerberos 5 для аутентификации и шифрования. Если этот ключ имеет значение yes и указан в конфигурации после transport, то будет использоваться протокол Kerberos 5 независимо от значения ключа transport. Это поведение выбрано для обеспечения обратной совместимости. Значение по умолчанию: no.
krb5_principal	Имя сервиса (из состава SPN) для данного сервера. Если значение ключа не задано, то сервер будет использовать для аутентификации ключ с именем в формате auditd/hostname@EXAMPLE.COM из файла /etc/audit/audit.key. Здесь hostname — это каноническое имя хоста, возвращаемое в результате DNS-запроса по IP-адресу. Значение по умолчанию: auditd.
krb5_key_file	Полный путь до файла с ключом клиента. Владельцем файла должен быть root, а права установлены в значение 0400. Значение по умолчанию: /etc/audit/audit.key.
distribute_network	При указании значения yes, события, поступающие из сети, будут направляться диспетчеру аудита (audispd) для обработки и передачи плагинам. Значение по умолчанию: no.
q_depth	Числовое значение, задающее длину внутренней очереди диспетчера событий аудита. Большой объем очереди позволит лучше справиться с потоком, но увеличит количество необработанных событий при завершении работы службы. Если в журнале системы наблюдаются сообщения о сбросе событий («queue is full - dropping events»), то очередь необходимо увеличить. Значение по умолчанию: 2000.
overflow_action	Этот ключ определяет, как служба должна реагировать на переполнение внутренней очереди, когда поступающих сообщений аудита больше, чем сообщений, передаваемых дочерним процессам. Ошибка переполнения очереди означает, что текущее обрабатываемое событие будет потеряно. Допустимые значения: ignore — не предпринимать никаких действий; syslog — отправить предупреждение о данном событии в журнал системы; suspend — прекратить передачу сообщений дочерним процессам. Служба при этом не останавливается; single — перевести систему в однопользовательский режим (single user mode); halt — выключить систему.
max_restarts	Неотрицательное число, задающее максимальное количество попыток перезапуска некорректно завершившегося плагина, предпринимаемых службой диспетчера событий аудита. Значение по умолчанию: 10.
plugin_dir	Ключ указывает на директорию, в которой служба аудита будет искать файлы конфигурации плагинов.
end_of_event_timeout	Неотрицательное число в секундах, используемое при выполнении процедур библиотеки пользовательского пространства auparse(), а также при выполнении утилит aureport и ausearch для вынесения решения о том, что сообщение из потока журнала событий является завершённым. При обработке потока событие будет считаться завершённым, если его время на end_of_event_timeout секунд больше находящихся рядом событий. Ниже будет приведено более подробное описание.

Для обеспечения полного использования раздела параметрам max_log_file и num_logs следует присвоить соответствующие значения. Учитывайте, что чем больше файлов создаётся на диске (и, соответственно, переименовывается), тем больше времени будет уходить на обработку событий при достижении размером очередного файла максимума. Параметру max_log_file_action рекомендуется присвоить значение keep_logs.

Значение space_left должно быть таким, которое позволит администратору вовремя среагировать на предупреждение. Обычно в число действий, выполняемых администратором, входит запуск aureport -t и архивирование самых старых протоколов. Значение space_left зависит от системы, в частности от частоты поступления сообщений о событиях. Значение space_left_action рекомендуется установить в email. Если требуется отправка сообщения snmp trap, укажите вариант exec.

Установите значение admin_space_left таким образом, чтобы хватило свободного места для сохранения записей о последующих действиях администратора. Значение параметра admin_space_left_action следует установить в single, ограничив, таким образом, способы взаимодействия с системной консолью.

Действие, указанное в disk_full_action, выполняется, когда в разделе уже не осталось свободного места. Доступ к ресурсам машины должен быть полностью прекращён, т.к. нет возможности контролировать работу системы. Это можно сделать, указав значение single или halt.

Значение disk_error_action следует установить в syslog, single, либо halt в зависимости от соглашения относительно обращения со сбойным аппаратным обеспечением.

Дата последнего изменения: 24.09.2025

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.