Alterator-audit: различия между версиями

Текущая версия от 15:51, 26 октября 2023

Название пакета

alterator-audit

Назначение

Модуль Системный аудит предназначен для создания правил системы аудита и просмотра отчётов.

Запуск

Модуль Системный аудит доступен в GUI (раздел Система ▷ Системный аудит):

Использование модуля

Запуск/останов службы аудита

Статус службы аудита отображается рядом с полем «Состояние» («Status»).

Запустить службу можно, нажав на кнопку «Inactive», остановить — нажав на кнопку «Active».

Просмотр записей аудита

Для просмотра записей аудита следует выбрать в списке «Отчёт» («Report») необходимый отчёт, например:

auth — отчёт о попытках аутентификации;
config — отчёт об изменениях конфигурации;
file — отчёт о файлах;
login — отчёт о попытках входа в систему.

Пример отчёта о попытках входа в систему:

В отчёте указывается дата и время попытки, пользователь, адрес хоста, успешность события (по умолчанию показываются как удачные, так и неудачные события).

Для дополнительной фильтрации данных в отчёте можно указать параметры фильтра:

«Успешно» («Success») — выбирать только удачные события;
«Неудачно» («Failed») — выбирать только неудачные события;
«Итог» («Summary») — генерировать итоговый отчет, который дает информацию только о количестве элементов;
«Транслировать» («Interplet») — транслировать числовые значения в текстовые (например, идентификатор пользователя будет транслирован в имя пользователя);
«Время» («time») — задать временные ограничения события.

Для сохранения выбранных параметров необходимо нажать кнопку «Добавить» («Add»). Для просмотра логов, удовлетворяющих данным параметрам — кнопку «Обновить» («Update»).

Пример отчёта с дополнительной фильтрацией данных:

Добавление/Удаление правил аудита

Для перехода к окну редактирования правил аудита необходимо нажать кнопку «Установить правила» («Setting Rules»). Откроется окно редактирования правил аудита:

В поле «Правила» («Rules») отображаются существующие правила и их статус.

Для создания нового правила необходимо:

Ввести название правила.
Добавить точку наблюдения за файловым объектом (указать путь к файлу/каталогу, за которым будет осуществляться наблюдение).
Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов).
Отметить пункт «Активировать правило» («Activate rule»).
Нажать кнопку «Добавить правило» («Add rule»).

Для более тонкой настройки правил необходимо отметить пункт «Режим эксперта» («Expert mode»).

Окно редактирования правил, в расширенном режиме:

В этом режиме в поле «Правило» («Rule») можно выбрать список событий, в который следует добавить правило:

«task» — список, отвечающий за процессы;
«entry» — список, отвечающий за точки входа системных вызовов;
«exit» — список, отвечающий за точки выхода из системных вызовов;
«user» — список фильтрации пользовательских сообщений;
«exclude» — список фильтрации сообщений определённого типа.

В поле «Действие» можно выбрать действие, которое должно произойти в ответ на возникшее событие:

«always» — генерировать запись при выходе из системного вызова;
«newer» — аудит не будет генерировать никаких записей.

В поле «Системный вызов» («Syscall») указывается имя системного вызова, при обращении к которому должен срабатывать триггер (например, open, close, exit). Вместо имени может быть использовано числовое значение.

Дополнительно можно настроить параметры фильтрации событий. Для этого нужно выбрать объект поля сравнения, задать операцию сравнения, ввести значение поля сравнения и нажать кнопку «Добавить фильтр» («Add filter»). Фильтров может быть задано несколько:

Для возврата в главное окно необходимо нажать кнопку «Назад» («Back»).

Модули Alterator

Модули Alterator • Alterator-bacula/client-backup/client • Alterator-bacula/client-backup/archive • Alterator-bacula/client-backup/schedule • Alterator-bacula/director • Alterator-audit • AlteratorLilo • AlteratorServices • Alterator-clamav • Alterator-pkg • Alterator/New/Modules/Postfix Dovecot • Alterator-mirror • Alterator-osec • Alterator-vsftpd • Alterator-bind • Alterator-logs • Alterator-squid • Alterator-squidmill • Alterator-quota • Alterator-root • Alterator-users • Alterator-ldap-users • Alterator-ldap-groups • Alterator-console • Alterator-sysinfo • Alterator-xinetd • Alterator-xkb • Alterator-ulogd • Alterator-bacula-client • Alterator-net-dnat • Alterator-net-iptables • Alterator-net-bl • Alterator-net-iptables-manual • Alterator-net-tc • Alterator-alternatives • Alterator-ahttpd-server • Alterator-ahttpd-power • Alterator-services • Alterator-sslkey • Alterator-datetime • Alterator-net-pptp • Alterator-net-pppoe • Alterator-net-l2tp • Alterator-net-routing • Alterator-snort • Alterator-asterisk-gateway • Alterator-asterisk-limits • Alterator-control • Alterator-sshd • Alterator-selinux-users • Alterator-net-vlan • Alterator-mkbootflash • Alterator-bird • Alterator-groups • Alterator-auth-token • Alterator-controlpp • Alterator-x11 • Alterator-printers • Alterator-sysconfig/proxy • Alterator-grub • Alterator-secsetup • Alterator-zram-swap • Alterator-gpupdate • Alterator-limits • Alterator-kiosk • Alterator-net-wifi • Alterator-ports-access • Alterator-update-kernel • Alterator-updates • Alterator-dhcp • Alterator-auth • Alterator-net-bond • Alterator-netinst • Alterator-net-bridge • Alterator-net-domain • Alterator-openvpn-server • Alterator-net-openvpn • Alterator-ca • Alterator-net-eth • Alterator-mass-management • Alterator-multiseat • Alterator-roles • Alterator-zabbix-agent

@@ Строка 1: / Строка 1: @@
-{{Stub}}
+== Название пакета ==
+{{pkg|alterator-audit}}
 == Назначение ==
-Модуль {{pkg|alterator-audit}} предназнаен для создания правил системы аудита и просмотра отчётов.
+Модуль '''Системный аудит''' предназначен для создания правил системы аудита и просмотра отчётов.
 == Запуск ==
-Модуль {{pkg|alterator-audit}} доступен в GUI (раздел {{nav|Система|Системный аудит}}):
+Модуль '''Системный аудит''' доступен в GUI (раздел {{nav|Система|Системный аудит}}):
 [[Файл:Alterator-audit.png|Интерфейс модуля alterator-audit]]
@@ Строка 14: / Строка 16: @@
 === Запуск/останов службы аудита ===
-Статус службы аудита отображается рядом с полем «Status:». Запустить службу можно нажав на кнопку [[Файл:Alterator-audit_inactive.png]], остановить нажав на  [[Файл:Alterator-audit_active.png]] соответственно.
+Статус службы аудита отображается рядом с полем «Состояние» («Status»).
+Запустить службу можно, нажав на кнопку «Inactive», остановить — нажав на кнопку «Active».
+=== Просмотр записей аудита ===
-=== Просмотр лога аудита ===
+Для просмотра записей аудита следует выбрать в списке «Отчёт» («Report») необходимый отчёт, например:
+* auth — отчёт о попытках аутентификации;
+* config — отчёт об изменениях конфигурации;
+* file — отчёт о файлах;
+* login — отчёт о попытках входа в систему.
-Для просмотра записей аудита выберите в списке «Report» необходимый отчёт. Например:
+Пример отчёта о попытках входа в систему:
-* auth — отчёт о попытках аутентификации
-* config — отчёт об изменениях конфигурации
-* file — отчёт о файлах
-* login — отчёт о попытках входа в систему
 [[Файл:Alterator-audit-log.png|Просмотр лога аудита]]
-Если выбрать тип отчёта - auth, будут выведдены сообщения о попытках аутентификации:
+В отчёте указывается дата и время попытки, пользователь, адрес хоста, успешность события (по умолчанию показываются как удачные, так и неудачные события).
-[[Файл:Alterator-audit-log1.png|Просмотр лога о попытках аутентификации]]
+Для дополнительной фильтрации данных в отчёте можно указать параметры фильтра:
+* «Успешно» («Success») — выбирать только удачные события;
+* «Неудачно» («Failed») — выбирать только неудачные события;
+* «Итог» («Summary») — генерировать итоговый отчет, который дает информацию только о количестве элементов;
+* «Транслировать» («Interplet») — транслировать числовые значения в текстовые (например, идентификатор пользователя будет транслирован в имя пользователя);
+* «Время» («time») — задать временные ограничения события.
-При этом указывается дата и время попытки, имя пользователя, адрес хоста, успешность попытки (удачные и неудачные).
+Для сохранения выбранных параметров необходимо нажать кнопку «Добавить» («Add»).
+Для просмотра логов, удовлетворяющих данным параметрам — кнопку «Обновить» («Update»).
-Для дополнительной фильтрации данных в отчете можно указать опции фильтра:
+Пример отчёта с дополнительной фильтрацией данных:
-* «Success» — только удачные события
-* «Failed» — только неудачные события
-* «Summary» — информация только о количестве элементов
-* «Interplet» — транслировать числовые значения в текстовые
-* «time» — задать временные ограничения
-Для сохранения выбранных опций нажмите кноку «Add». Для просмотра логов, удовлетворяющих данным опциям - кнопку «Update»
 [[Файл:Alterator-audit-log2.png|Настройка вывода отчёта]]
@@ Строка 45: / Строка 50: @@
 === Добавление/Удаление правил аудита ===
-Для перехода к окну редактирования правил аудита, нажмите на кнопку «Setting Rules». Откроется окно:
+Для перехода к окну редактирования правил аудита необходимо нажать кнопку «Установить правила» («Setting Rules»).
+Откроется окно редактирования правил аудита:
-[[Файл:Alterator-audit-rules.png|Редактирование правил аудита]]
+[[Файл:Alterator-audit-rules.png|Окно редактирования правил аудита]]
-В окне Rules отображаются существующие правила и их статус.
+В поле «Правила» («Rules») отображаются существующие правила и их статус.
 Для создания нового правила необходимо:
-# Ввести название правила
+# Ввести название правила.
-# Добавить точку наблюдения за файловым объектом (указать путь к файлу (каталогу), за которым будет осуществляться наблюдение)
+# Добавить точку наблюдения за файловым объектом (указать путь к файлу/каталогу, за которым будет осуществляться наблюдение).
-# Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов)
+# Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов).
-# Отметить пункт «Активировать правило» («Activate rule»)
+# Отметить пункт «Активировать правило» («Activate rule»).
-# Нажать кнопку «Добавить правило» («Add rule»)
+# Нажать кнопку «Добавить правило» («Add rule»).
 [[Файл:Alterator-audit-rules1.png|Создание нового правила]]
-Для более тонкой настройки правил необходимо отметить пункт «Expert mode». Окно редактирования правил, в расширенном режиме:
+Для более тонкой настройки правил необходимо отметить пункт «Режим эксперта» («Expert mode»).
+Окно редактирования правил, в расширенном режиме:
 [[Файл:Alterator-audit-rules-expert.png|Редактирование правил аудита в расширенном режиме]]
-В этом окне можно выбрать список событий, в который следует добавить правило (список «Rule»):
+В этом режиме в поле «Правило» («Rule») можно выбрать список событий, в который следует добавить правило:
+* «task» — список, отвечающий за процессы;
-[[Файл:Alterator-audit-rule.png|Список событий]]
+* «entry» — список, отвечающий за точки входа системных вызовов;
+* «exit» — список, отвечающий за точки выхода из системных вызовов;
-Доступны следующие списки:
+* «user» — список фильтрации пользовательских сообщений;
-# task - список, отвечающий за процессы
+* «exclude» — список фильтрации сообщений определённого типа.
-# entry - список, отвечающий за точки входа системных вызовов
-# exit - список, отвечающий за точки выхода из системных вызовов
-# user - список фильтрации пользовательских сообщений
-# exclude - список фильтрации сообщений определённого типа.
-Далее выбирается действие «Action», которое должно произойти в ответ на возникшее событие:
-* always - генерировать запись при выходе из системного вызова
-* newer - аудит не будет генерировать никаких записей
-[[Файл:Alterator-audit-action.png|Action]]
-В поле «Syscall» указывается имя системного вызова, при обращении к которму должен срабатывать триггер (например, open, close, exit).
-Дополнительные можно настроить параметры фильтрации событий. Для этого в первом списке нужно выбрать объект поля сравнения:
-[[Файл:Alterator-audit-o.png|Выбор объекта поля сравнения]]
-Затем задать операцию сравнения. Допустимые операции выбираются в списке:
-[[Файл:Alterator-audit-o1.png|Выбор операции]]
+В поле «Действие» можно выбрать действие, которое должно произойти в ответ на возникшее событие:
+* «always» — генерировать запись при выходе из системного вызова;
+* «newer» — аудит не будет генерировать никаких записей.
-Далее необходимо ввести значение поля сравнения и нажать кнопку «Add filter».
+В поле «Системный вызов» («Syscall») указывается имя системного вызова, при обращении к которому должен срабатывать триггер (например, open, close, exit). Вместо имени может быть использовано числовое значение.
-Фильтров может быть задано несколько:
+Дополнительно можно настроить параметры фильтрации событий. Для этого нужно выбрать объект поля сравнения, задать операцию сравнения, ввести значение поля сравнения и нажать кнопку «Добавить фильтр» («Add filter»). Фильтров может быть задано несколько:
 [[Файл:Alterator-audit-rules-expert2.png|Редактирование правил аудита в расширенном режиме]]
-Для возврата в главное окно необходимо нажать кнопку «Back».
+Для возврата в главное окно необходимо нажать кнопку «Назад» («Back»).
 {{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}}