Alterator-audit

Материал из ALT Linux Wiki

Название пакета

alterator-audit

Назначение

Модуль Системный аудит предназначен для создания правил системы аудита и просмотра отчётов.

Запуск

Модуль Системный аудит доступен в GUI (раздел Система ▷ Системный аудит):

Интерфейс модуля alterator-audit

Использование модуля

Запуск/останов службы аудита

Статус службы аудита отображается рядом с полем «Состояние» («Status»).

Запустить службу можно, нажав на кнопку «Inactive», остановить — нажав на кнопку «Active».

Просмотр записей аудита

Для просмотра записей аудита следует выбрать в списке «Отчёт» («Report») необходимый отчёт, например:

  • auth — отчёт о попытках аутентификации;
  • config — отчёт об изменениях конфигурации;
  • file — отчёт о файлах;
  • login — отчёт о попытках входа в систему.

Пример отчёта о попытках входа в систему:

Просмотр лога аудита

В отчёте указывается дата и время попытки, пользователь, адрес хоста, успешность события (по умолчанию показываются как удачные, так и неудачные события).

Для дополнительной фильтрации данных в отчёте можно указать параметры фильтра:

  • «Успешно» («Success») — выбирать только удачные события;
  • «Неудачно» («Failed») — выбирать только неудачные события;
  • «Итог» («Summary») — генерировать итоговый отчет, который дает информацию только о количестве элементов;
  • «Транслировать» («Interplet») — транслировать числовые значения в текстовые (например, идентификатор пользователя будет транслирован в имя пользователя);
  • «Время» («time») — задать временные ограничения события.

Для сохранения выбранных параметров необходимо нажать кнопку «Добавить» («Add»). Для просмотра логов, удовлетворяющих данным параметрам — кнопку «Обновить» («Update»).

Пример отчёта с дополнительной фильтрацией данных:

Настройка вывода отчёта

Добавление/Удаление правил аудита

Для перехода к окну редактирования правил аудита необходимо нажать кнопку «Установить правила» («Setting Rules»). Откроется окно редактирования правил аудита:

Окно редактирования правил аудита

В поле «Правила» («Rules») отображаются существующие правила и их статус.

Для создания нового правила необходимо:

  1. Ввести название правила.
  2. Добавить точку наблюдения за файловым объектом (указать путь к файлу/каталогу, за которым будет осуществляться наблюдение).
  3. Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов).
  4. Отметить пункт «Активировать правило» («Activate rule»).
  5. Нажать кнопку «Добавить правило» («Add rule»).

Создание нового правила

Для более тонкой настройки правил необходимо отметить пункт «Режим эксперта» («Expert mode»).

Окно редактирования правил, в расширенном режиме:

Редактирование правил аудита в расширенном режиме

В этом режиме в поле «Правило» («Rule») можно выбрать список событий, в который следует добавить правило:

  • «task» — список, отвечающий за процессы;
  • «entry» — список, отвечающий за точки входа системных вызовов;
  • «exit» — список, отвечающий за точки выхода из системных вызовов;
  • «user» — список фильтрации пользовательских сообщений;
  • «exclude» — список фильтрации сообщений определённого типа.

В поле «Действие» можно выбрать действие, которое должно произойти в ответ на возникшее событие:

  • «always» — генерировать запись при выходе из системного вызова;
  • «newer» — аудит не будет генерировать никаких записей.

В поле «Системный вызов» («Syscall») указывается имя системного вызова, при обращении к которому должен срабатывать триггер (например, open, close, exit). Вместо имени может быть использовано числовое значение.

Дополнительно можно настроить параметры фильтрации событий. Для этого нужно выбрать объект поля сравнения, задать операцию сравнения, ввести значение поля сравнения и нажать кнопку «Добавить фильтр» («Add filter»). Фильтров может быть задано несколько:

Редактирование правил аудита в расширенном режиме

Для возврата в главное окно необходимо нажать кнопку «Назад» («Back»).