Служба аудита auditd

Значение ключа (yes или no) определяет, включать ли в журнал локальные события. Значение устанавливается в no, когда необходимо агрегировать только те события аудита, которые поступили из сети. Также это может быть полезно, если служба аудита работает в контейнере. Параметр может быть установлен только один раз — при запуске службы. Перезагрузка конфигурационного файла не оказывает на него влияния.

Значение по умолчанию: yes.

Значение ключа (yes или no) определяет, записывать ли журнал на диск.

Значение по умолчанию: yes.

Указывает формат, в котором информация должна храниться на диске. Принимается два варианта: RAW и ENRICHED. Если установлено значение RAW, записи аудита будут храниться в том формате, в котором их отправляет ядро. Установка значения ENRICHED включит дополнительные данные с разрешением (перевод идентификатора в его текстовое значение) всей информации — uid, gid, системном вызове, архитектуре и адресе сокета — перед записью события на диск. Это помогает анализировать события, созданные в одной системе, но просматриваемые/анализируемые в другой системе.

Параметр NOLOG устарел. Теперь вместо указания данного значения следует установить значение no для ключа write_logs.

Значение ключа определяет группу, которая устанавливается для файла журнала. Значение может быть как числовым, так и буквенным.

Значение по умолчанию: root.

Неотрицательное число, которое указывает насколько нужно увеличить приоритет демону аудита. Для запуска без изменения приоритета необходимо указать 0.

Значение по умолчанию: 4.

Позволяет выбрать поведение синхронизации данных с диском.

Допустимые значения ключа:

• none — не предпринимать дополнительных действий для сброса записей аудита на диска из буфера;
• incremental — выполнять явный сброс данных буфера на диск с частотой, указанной в параметре freq;
• incremental_async — поведение схоже с применением incremental, за исключением того, что сброс данных на диск выполняется асинхронно для повышения производительности;
• data — данные журнала на диске постоянно синхронизировать при каждой записи;
• sync — данные и метаданные журнала на диске немедленно синхронизировать при каждой записи.

Значение по умолчанию: incremental_async.

Значение ключа (от 0 до 999) устанавливает количество файлов журнала, которые необходимо сохранить, если в ключе max_log_file_action указано rotate. Указание значения менее 2 отключает ротацию журналов. При установке большего количества сохраняемых файлов журнала может потребоваться увеличить размер буфера ядра (kernel backlog), поскольку ротация журналов будет занимать больше времени. Обычно размер буфера настраивается в /etc/audit/audit.rules. При настроенной ротации журналов демон определит и удалит лишние из них, чтобы освободить место на диске. Проверка необходимости удаления файлов журнала выполняется при запуске службы, а также в том случае, если в результате изменения настроек выполняется проверка свободного места.

Значение по умолчанию: 0.

Этот ключ определяет, как имена компьютерных узлов вставляются в поток событий аудита.

Допустимые значения:

• none — в событии аудита имя компьютера не использовать;
• hostname — использовать значение возвращаемое системным вызовом gethostname;
• fqd — использовать полученное с помощью DNS полное доменное имя хоста;
• numeric — аналогично fqd, за исключением того, что определяется IP-адрес хоста. Перед включением данной опции необходимо убедиться, что команды hostname -i или domainname -i возвращают IP-адрес. Кроме того, не рекомендуется использовать данную опцию в случае настройки IP-адреса хоста посредством DHCP из-за вероятности его изменения со временем;
• user — использовать строку, определённую значением ключа name.

Значение по умолчанию: none.

Ключ указывает системе действие, которое необходимо предпринять при обнаружении достижения максимального размера файла журнала.

Допустимые значения:

• ignore — не предпринимать никаких действий;
• syslog — отправить предупреждение о данном событии в журнал системы;
• suspend — прекратить запись в журнал аудита на диск (служба аудита при этом не останавливается);
• rotate — произвести ротацию журналов аудита. Чем старше журнал, тем больше его номер (идентично поведению logrotate);
• keep_logs — выполнить действия идентично опции rotate, но без учёта значения ключа num_logs, что предотвратит перезапись журналов. Файлы журналов будут накапливаться до срабатывания действия ключа space_left_action в результате заполнения тома. Данную опцию лучше всего использовать в сочетании с периодической архивацией журналов внешними средствами.

Числовое значение в мегабайтах, которое указывает границу свободного пространства (в файловой системе, содержащей файлы журналов), ниже которой должно быть вызвано действие ключа space_left_action.

Если значение задано в виде числа, то оно будет обозначать размер в мегабайтах.

Если значение задано в виде числа от 1 до 99 со знаком «%» в конце, то служба аудита посчитает абсолютный размер в мегабайтах, исходя из общего объёма файловой системы, на которой расположены файлы журнала. Например, если размер раздела, на котором находится каталог log_file равен 2Гб, а значение ключа равно 25%, то фактическое значение этого ключа будет приблизительно равняться 500 (в мегабайтах). Учтите, что такое вычисление происходит только при старте службы аудита. Если после её запуска размер файловой системы, содержащей журналы, будет изменён, то необходимо отправить службе аудита сигнал SIGHUP для повторного считывания конфигурации и пересчёта данного ключа.

Этот ключ определяет действие, выполняемое при начале обнаружения исчерпания места на диске, когда свободное пространство становится меньше значения ключа space_left.

Допустимые значения:

• ignore — не предпринимать никаких действий;
• syslog — отправить предупреждение о данном событии в журнал системы;
• rotate — произвести ротацию журналов аудита с удалением старейших из них для освобождения пространства;
• email — отправить письмо с предупреждением на адрес из ключа action_mail_acct и сделать запись в журнал syslog;
• exec /путь_к_скрипту — выполнить указанный скрипт. Передача параметров скрипту невозможна. Кроме того, в нём должно быть реализовано действие, заставляющее службу аудита возобновить ведение журнала после завершения необходимых операций. Этим действием может быть вызов команды service auditd resume;
• suspend — прекратить запись в журнал аудита на диск. Служба аудита при этом не останавливается;
• single — перевести систему в однопользовательский режим (single user mode);
• halt — выключить систему.

Выбранное в ключе действие выполняется однократно (за исключением rotate).

Числовое значение в мегабайтах, которое указывает границу свободного пространства (в файловой системе, содержащей файлы журналов), ниже которой должно быть вызвано действие ключа admin_space_left_action. Это порог для попытки выполнения действий перед окончательным исчерпанием пространства. Значение этого ключа следует установить меньше, чем для space_left_action. Можно указать в процентном отношении (подробное описание дано выше в space_left_action).

Этот ключ определяет действие при приближении к полному исчерпанию места на диске, когда свободное пространство становится меньше значения ключа admin_space_left.

Допустимые значения:

• ignore — не предпринимать никаких действий;
• syslog — отправить предупреждение о данном событии в журнал системы;
• rotate — произвести ротацию журналов аудита с удалением старейших из них для освобождения пространства;
• email — отправить письмо с предупреждением на адрес из ключа action_mail_acct и сделать запись в журнал syslog;
• exec /путь_к_скрипту — выполнить указанный скрипт. Передача параметров скрипту невозможна. Кроме того, в нём должно быть реализовано действие, заставляющее службу аудита возобновить ведение журнала после завершения необходимых операций. Этим действием может быть вызов команды service auditd resume;
• suspend — прекратить запись в журнал аудита на диск. Служба аудита при этом не останавливается;
• single — перевести систему в однопользовательский режим (single user mode);
• halt — выключить систему.

Выбранное в ключе действие выполняется однократно (за исключением rotate).

Ключ указывает действие, которое необходимо выполнить при полном исчерпании свободного пространства хранилища, на котором расположены журналы.

Допустимые значения:

• ignore — отправить сообщение в журнал системы, никаких действий более не выполнять;
• syslog — отправить предупреждение о данном событии в журнал системы;
• rotate — произвести ротацию журналов аудита с удалением старейших из них для освобождения пространства;
• exec/путь_к_скрипту — выполнить указанный скрипт. Передача параметров скрипту невозможна. Кроме того, в нём должно быть реализовано действие, заставляющее службу аудита возобновить ведение журнала после завершения необходимых операций. Этим действием может быть вызов команды service auditd resume;
• suspend — прекратить запись в журнал аудита на диск. Служба аудита при этом не останавливается;
• single — перевести систему в однопользовательский режим (single user mode);
• halt — выключить систему.

Ключ указывает действие, которое необходимо выполнить при обнаружении ошибки в процессе: записи сообщений аудита в журнал на диске, ротации журналов.

Допустимые значения:

• ignore — не предпринимать никаких действий;
• syslog — отправить не более 5 последовательных предупреждений в журнал системы;
• exec/путь_к_скрипту — выполнить указанный скрипт. Передача параметров скрипту невозможна;
• suspend — прекратить запись в журнал аудита на диск. Служба аудита при этом не останавливается;
• single — перевести систему в однопользовательский режим (single user mode);
• halt — выключить систему.

Задаёт максимально допустимое количество ожидающих подключений (запрошенных, но пока не принятых). Указание слишком низкого значения может привести к отказам в соединении при большом количестве одновременно запускающихся удалённых хостов, например, после сбоя питания. Использование ключа необходимо только для хостов, которые собирают сообщения с удалённых систем. На клиентах, которые отправляют сообщения аудита на удалённый сервер, этот ключ следует закомментировать.

Значение по умолчанию: 5.

Задаёт максимально допустимое количество одновременных соединений с одного IP-адреса. Максимальное значение: 1024. Указание слишком большого значения упростит атаку отказа в обслуживании (DoS) на сервер журналирования. Помните, что ядро имеет внутренний лимит соединений, который может также привести к отказу в подключении, несмотря на разрешающее действие данного ключа. Значения по умолчанию достаточно для большинства случаев за исключением тех, когда скрипт или иное ПО запускаются для передачи ранее неотправленных (в результате сбоя) сообщений аудита. Даже в этом случае значение ключа должно быть установлено достаточным для этих задач, но не избыточно высоким.

Значение по умолчанию: 1.

Значение ключа (yes или no) и определяет, следует ли использовать tcp_wrappers для распознавания попыток подключения с разрешённых компьютеров.

Значение по умолчанию: yes.

Ключ позволяет выбрать способ передачи сообщений.

Допустимые значения:

• TCP — будет использована незашифрованная передача данных по протоколу TCP;
• KRB5 — будет использован протокол Kerberos 5 для аутентификации и шифрования.

Значение по умолчанию: TCP.

Этот ключ устарел. Вместо него следует использовать transport. Если значение yes, то будет использован протокол Kerberos 5 для аутентификации и шифрования. Если этот ключ имеет значение yes и указан в конфигурации после transport, то будет использоваться протокол Kerberos 5 независимо от значения ключа transport. Это поведение выбрано для обеспечения обратной совместимости.

Значение по умолчанию: no.

Имя сервиса (из состава SPN) для данного сервера. Если значение ключа не задано, то сервер будет использовать для аутентификации ключ с именем в формате auditd/hostname@EXAMPLE.COM из файла /etc/audit/audit.key. Здесь hostname — это каноническое имя хоста, возвращаемое в результате DNS-запроса по IP-адресу.

Значение по умолчанию: auditd.

Полный путь до файла с ключом клиента. Владельцем файла должен быть root, а права установлены в значение 0400.

Значение по умолчанию: /etc/audit/audit.key.

При указании значения yes, события, поступающие из сети, будут направляться диспетчеру аудита (audispd) для обработки и передачи плагинам.

Значение по умолчанию: no.

Числовое значение, задающее длину внутренней очереди диспетчера событий аудита. Большой объем очереди позволит лучше справиться с потоком, но увеличит количество необработанных событий при завершении работы службы. Если в журнале системы наблюдаются сообщения о сбросе событий («queue is full - dropping events»), то очередь необходимо увеличить.

Значение по умолчанию: 2000.

Этот ключ определяет, как служба должна реагировать на переполнение внутренней очереди, когда поступающих сообщений аудита больше, чем сообщений, передаваемых дочерним процессам. Ошибка переполнения очереди означает, что текущее обрабатываемое событие будет потеряно.

Допустимые значения:

• ignore — не предпринимать никаких действий;
• syslog — отправить предупреждение о данном событии в журнал системы;
• suspend — прекратить передачу сообщений дочерним процессам. Служба при этом не останавливается;
• single — перевести систему в однопользовательский режим (single user mode);
• halt — выключить систему.

Неотрицательное число, задающее максимальное количество попыток перезапуска некорректно завершившегося плагина, предпринимаемых службой диспетчера событий аудита.

Значение по умолчанию: 10.