local_events
|
Указывает, включать (параметр yes) или не включать (no) локальные события. Значение по умолчанию - yes. В случаях необходимости агрегировать события только из сети можно установить no. На данный момент данный параметр полезен, если демон аудита запущен в контейнере. Данную опцию можно установить только один раз - при запуске демона |
log_file
|
Указывает полный путь к файлу журнала, в котором будут храниться записи аудита. Файл должен быть регулярным |
write_logs
|
Определяет, следует ли записывать журналы на диск (значения yes/no). По умолчанию yes |
log_format
|
Описывает, как информация должна храниться на диске. Есть 2 варианта: RAW и ENRICHED. Если установлено значение RAW, то записи аудита будут храниться в том формате, в котором их отправляет ядро. Параметр ENRICHED разрешит всю информацию о uid, gid, системных вызовах, архитектуре и адресе сокета перед записью события на диск, что помогает разобраться в событиях, созданных в одной системе, но сообщаемых/анализируемых в другой системе. Вместо устаревшего параметра NOLOG установите для write_logs значение no |
log_group
|
Определяет группу, которая применяется к разрешениям для файла журнала. По умолчанию root. Имя группы может быть числовым или буквенным |
priority_boost
|
Указывает демону аудита, в какой степени ему следует повысить приоритет. Неотрицательное число. Значение по умолчанию - 4. Значение без изменений - 0 |
flush
|
Задает стратегию работы с дисковым буфером. Допустимые значения: none, incremental, incremental_async, data и sync. Если задано значение none, то не предпринимается никаких специальных действий для сброса записей аудита на диск. incremental - параметр freq используется для определения того, как часто выполняется сброс данных на диск. incremental_async похож на incremental, за исключением того, что сброс выполняется асинхронно для повышения производительности. data указывает демону аудита на необходимость сохранения части данных дискового файла для постоянной синхронизации. sync указывает демону аудита, что данные и метаданные должны быть полностью синхронизированы при каждой записи на диск. Значение по умолчанию - incremental_async |
freq
|
Указывает демону аудита, сколько записей необходимо сделать перед выдачей команды сброса на диск. Неотрицательное число. Допустимо только в случае, если ключевому слову flush присвоено значение incremental или incremental_async |
num_logs
|
Указывает количество файлов журнала, которое необходимо сохранить, если в качестве параметра max_log_file_action задан rotate. Если значение < 2, то журналы не будут осуществлять ротацию. Число может принимать значение до 999 включительно. Значение по умолчанию - 0, что означает отсутствие ротации. По мере увеличения количества файлов журнала, подлежащих ротации, может потребоваться скорректировать настройки беклога ядра в сторону увеличения, поскольку для ротации файлов требуется больше времени, - обычно в /etc/audit/audit.rules (подробнее см. в «Файл audit.rules»). Если настроена ротация журналов, демон проверит наличие лишних журналов и удалит их, чтобы сохранить свободное место на диске. Проверка переполнения журнала выполняется только при запуске и при повторной настройке, приводящей к проверке пространств |
name_format
|
Определяет, как имена узлов вставляются в поток событий аудита. Варианты значений: none, hostname, fqd, numeric и user. none означает, что в событие аудита не вставляется имя машины. hostname - это имя, возвращаемое системным вызовом gethostname. fqd - принимает имя хоста и преобразует его с помощью dns в полное доменное имя. numeric аналогичен fqd, за исключением того, что он определяет IP-адрес. Чтобы использовать данный параметр, может потребоваться проверить, что hostname -i или domainname -i возвращают числовой адрес. Данный параметр не рекомендуется использовать, если используется dhcp, поскольку с течением времени могут быть разные адреса для одной и той же машины. user - это строка, определяемая администратором в параметре name. Значение по умолчанию - none |
name
|
Идентифицирует машину, если в качестве параметра name_format указан user. Определяется пользователем с административными полномочиями |
max_log_file
|
Определяет максимальный размер файла в мегабайтах. При достижении данного предела запускается настраиваемое действие max_log_file_action |
max_log_file_action
|
Указывает системе, какие действия следует предпринять при обнаружении того, что достигнут максимальный размер файла. Допустимыми значениями являются ignore, syslog, suspend, rotate и keep_logs. Если установлено значение ignore, демон аудита не предпринимает никаких действий. syslog - выдаст предупреждение системному журналу. suspend приведет к тому, что демон аудита прекратит запись отчетов на диск, но будет активен. rotate приведет к тому, что демон аудита подвергнет журналы ротации. keep_logs аналогичен rotate, за исключением того, что в нем не используется параметр num_logs, что предотвращает перезапись журналов аудита. В результате журналы накапливаются и не удаляются, что запускает действие space_left_action при заполнении тома. Данный параметр рекомендуется использовать в сочетании с внешним скриптом, используемым для периодического архивирования журналов |
verify_email
|
Определяет, проверен ли адрес электронной почты, указанный в action_mail_acct, чтобы убедиться, может ли быть разрешено доменное имя. Данный параметр должен быть указан перед action_mail_acct, иначе будет использоваться значение по умолчанию yes |
action_mail_acct
|
Содержит валидный адрес электронной почты или псевдоним. Адрес по умолчанию - root. Если адрес электронной почты не является локальным, убедитесь, что на вашей машине и в сети правильно настроена электронная почта. Кроме того, для этого параметра требуется файл /usr/lib/sendmail |
space_left
|
Указывает: если количество свободного места в файловой системе, содержащей log_file, становится меньше заданного значения, демон аудита выполняет действие, указанное в space_left_action. Если значение указано в виде целого числа, оно интерпретируется как абсолютный размер в мегабайтах. Если значение указано в виде числа от 1 до 99, за которым следует знак %, демон аудита вычисляет абсолютный размер в мегабайтах на основе размера файловой системы, содержащей log_file. Данный расчет выполняется при запуске демона аудита, поэтому если размер файловой системы, содержащей log_file, изменится во время работы демона аудита, необходимо отправить демону запрос SIGHUP для повторного чтения файла конфигурации и пересчета правильного процентного соотношения |
space_left_action
|
Указывает системе, какие действия следует предпринять, когда обнаруживается, что на диске начинает заканчиваться свободное пространство. Допустимые значения - ignore, syslog, rotate, email, exec, suspend, single и halt. Если установлено значение ignore, демон аудита не предпринимает никаких действий. syslog - он выдаст предупреждение системному журналу. rotate - произведет ротацию журналов, удалив самые старые из них для освобождения места. email - отправит предупреждение на учетную запись электронной почты, указанную в action_mail_acct, а также сообщение в системный журнал. exec /path-to-script - запустит скрипт, без передачи ему дополнительных параметров. Скрипт также отвечает за указание auditd возобновить ведение журнала после завершения его действия. suspend приведет к тому, что демон аудита прекратит запись отчетов на диск, но будет активен. single - демон аудита переведет систему в однопользовательский режим. halt - завершит работу системы. За исключением rotate, указанное действие будет выполнено один раз |
admin_space_left
|
Указывает демону аудита, когда следует выполнить настраиваемое действие, если в системе заканчивается дисковое пространство. Представляет собой числовое значение в мегабайтах. Значение данного параметра должно быть меньше, чем space_left. Можно добавить знак %, чтобы программа аудита рассчитала число на основе размера раздела диска |
admin_space_left_action
|
Указывает системе, какие действия следует предпринять, если система обнаружила, что на диске мало места. Допустимые значения - ignore, syslog, rotate, email, exec, suspend, single и halt - аналогичны space_left_action. За исключением rotate, указанное действие будет выполнено один раз |
disk_full_action
|
Указывает системе, какие действия следует предпринять, когда обнаружится, что раздел, в который записываются файлы журнала, заполнен. Допустимые значения: ignore, syslog, rotate, exec, suspend, single и halt. Если задано значение ignore, демон аудита выдаст сообщение системного журнала, но не предпримет никаких других действий. syslog означает, что он выдаст предупреждение системному журналу. rotate - произведет ротацию журналов, удаляя самые старые из них, чтобы освободить место. exec /path-to-script запустит скрипт аналогично вышеописанным exec. suspend приведет к тому, что демон аудита прекратит запись отчетов на диск, но будет активен. single - переведет систему в однопользовательский режим. halt - завершит работу системы |
disk_error_action
|
Указывает системе, какие действия следует предпринять при обнаружении ошибки записи событий аудита на диск или при ротации журналов. Допустимыми значениями являются ignore, syslog, exec, suspend, single и halt. Если установлено значение ignore, демон аудита не будет предпринимать никаких действий. syslog означает, что он выдаст системному журналу не более 5 предупреждений подряд. exec /path-to-script запустит скрипт, без возможности передачи ему параметров. suspend приведет к тому, что демон аудита прекратит запись отчетов на диск, но будет активен. single - демон аудита переведет систему в однопользовательский режим. halt - завершит работу системы |
tcp_listen_port
|
Настраивает auditd на считывание записей аудита соответствующих TCP-портов из удаленных систем. Демон аудита может быть сопряжен с tcp_wrappers (контроль IP-адресов клиентов). Управлять доступом можно с помощью соответствующих записей в файлах hosts.allow и deny. В операционных системах на базе systemd может потребоваться изменить директиву After. Представляет собой числовое значение в диапазоне от 1 до 65535 |
tcp_listen_queue
|
Указывает, сколько ожидающих (запрошенных, но не принятых) подключений разрешено. Представляет собой числовое значение, по умолчанию - 5. Слишком малое значение может привести к отклонению подключений, если одновременно запускается слишком много хостов, например, после сбоя питания. Данный параметр используется только для объединения серверов. При входе клиентов на удаленный сервер его не следует комментировать |
tcp_max_per_addr
|
Указывает, сколько одновременных подключений разрешено с одного IP-адреса. Значение по умолчанию - 1, максимальное значение - 1024. Слишком большое значение может привести к отказу в обслуживании на сервере ведения журнала. В ядре есть внутренний максимум, который в конечном итоге предотвратит это, даже если auditd разрешит это в конфигурации. Значение по умолчанию должно быть достаточным в большинстве случаев, если только не будет запущен пользовательский сценарий восстановления для пересылки неотправленных событий |
use_libwrap
|
Определяет, следует ли использовать tcp_wrappers для распознавания попыток подключения с разрешенных машин. Допустимые значения - yes/no, по умолчанию - yes |
tcp_client_ports
|
Указывает, какие клиентские порты разрешены для входящих подключений. Если не указан, то разрешен любой порт. Представляет собой числовое значение/два значения, разделенные тире без пробелов. Допустимые значения - от 1 до 65535. Например, чтобы клиент использовал привилегированный порт, укажите значение 1-1023, а также установите параметр local_port в файле audisp-remote.conf. Отправка клиентами сообщений с привилегированного порта является средством безопасности, предотвращающим атаки с использованием логов со стороны ненадежных пользователей |
tcp_client_max_idle
|
Указывает количество секунд, в течение которых клиент может бездействовать (не отправлять данных), прежде чем служба аудита подаст жалобу. Данный параметр используется для закрытия неактивных подключений, если на клиентской машине возникла проблема, из-за которой подключение не может быть завершено. Параметр является глобальной настройкой и должен быть больше, чем настройка heartbeat_timeout для отдельных клиентов, желательно, в два раза. Значение по умолчанию - 0, что отключает проверку |
transport
|
Задает используемый протокол. Если указано значение TCP, то будут использоваться только текстовые tcp-соединения. Если задано KRB5, то для аутентификации и шифрования будет использоваться Kerberos 5. Значение по умолчанию - TCP |
enable_krb5
|
Включает использование Kerberos 5. Не рекомендуется к использованию; используйте параметр transport, указанный выше. Значение по умолчанию - no. Однако, если установлено yes, для аутентификации и шифрования будет использоваться Kerberos 5. Если параметр соответствует transport, то он его переопределит для обеспечения обратной совместимости |
krb5_principal
|
Задает основной ключ для данного сервера. По умолчанию используется auditd. Учитывая значение по умолчанию, сервер будет искать ключ с именем, похожим на auditd/hostname@EXAMPLE.COM, хранящийся в файле /etc/audit/audit.key, для аутентификации, где hostname - это каноническое имя хоста сервера, возвращаемое при поиске IP-адреса в DNS |
krb5_key_file
|
Задает расположение ключа администратора доступа клиента. Ключевой файл должен принадлежать пользователю с административными полномочиями (например, root) и иметь режим 0400. По умолчанию используется файл /etc/audit/audit.key |
distribute_network
|
Настраивает правило: если установлено значение yes, события, исходящие из сети, будут передаваться диспетчеру событий аудита для обработки. Значение по умолчанию - no |
q_depth
|
Указывает, насколько большой должна быть внутренняя очередь диспетчера событий аудита. Большая очередь позволяет лучше обрабатывать поток событий, но может содержать события, которые не обрабатываются при завершении работы демона. Если в системном журнале появляются сообщения об удалении событий, увеличьте данный параметр. Значение по умолчанию - 2000 |
overflow_action
|
Определяет, как демон должен реагировать на переполнение своей внутренней очереди - когда поступает больше событий, чем он может передать дочерним процессам. Данная ошибка означает, что он потеряет текущее событие, которое пытается отправить. Доступные опции: ignore, syslog, suspend, single и halt. Если установлено значение ignore, демон аудита не предпринимает никаких действий. syslog означает, что он выдаст предупреждение системному журналу. suspend приведет к тому, что демон аудита перестанет отправлять события дочерним процессам, но будет активен. single - переведет систему в однопользовательский режим. halt - демон аудита завершит работу системы |
max_restarts
|
Указывает диспетчеру событий аудита, сколько раз он может попытаться перезапустить вышедший из строя плагин. Неотрицательное число, значение по умолчанию - 10 |
plugin_dir
|
Задает местоположение, которое auditd будет использовать для поиска файлов конфигурации своего плагина |
end_of_event_timeout
|
Задает неотрицательное количество секунд, используемое библиотечными процедурами пользовательского пространства auparse и утилитами aureport, ausearch (подробнее см. в «Утилита aureport», «Утилита ausearch») для определения завершения события при анализе потока журнала событий. Для обрабатываемого потока событий, если время текущего события превышает end_of_event_timeout на несколько секунд по сравнению с рядом расположенными событиями, событие считается завершенным |