audisp-remote.conf#

audisp-remote.conf - это конфигурационный файл подсистемы удаленного ведения журнала аудита (подробнее см. в разделе «Инструменты операционной системы»).

Возможные параметры:

Параметр	Описание
`remote_server`	Имя хоста удаленного сервера или адрес, на который будет отправляться информация журнала
`port`	Целое число, указывающее, к какому порту подключаться на удаленной машине
`local_port`	Целое число, указывающее, с какого локального порта на локальной машине следует подключаться. Если параметр не указан (по умолчанию) или задано значение `any`, то используется любой доступный непривилегированный порт, что является механизмом безопасности, предотвращающим передачу событий в демон аудита ненадежными приложениями пользовательского пространства. Установите значение неиспользуемого порта < `1024`, чтобы гарантировать, что только пользователи с административными полномочиями смогут подключаться к этому порту. Затем установите значение `tcp_client_ports` в сводном файле `auditd.conf` (подробнее см. в «Файл auditd.conf») таким образом, чтобы оно соответствовало портам, с которых отправляются клиенты
`transport`	Указание приложению удаленного ведения журнала, как отправлять события в удаленную систему. Допустимыми значениями являются `TCP` и `KRB5`: `TCP` - приложение удаленного ведения журнала установит обычное текстовое соединение с удаленной системой; `KRB5` - для аутентификации и шифрования будет использоваться Kerberos 5. Значение по умолчанию - `TCP`
`mode`	Указание, какую стратегию использовать для отправки записей в удаленную систему. Допустимыми значениями являются `immediate` и `forward`: `immediate` - приложение удаленного ведения журнала попытается отправить события сразу после их получения; `forward` - программа сохранит события на диске, а затем попытается отправить записи. Если установить соединение не удастся, она будет помещать записи в очередь до тех пор, пока не сможет подключиться к удаленной системе. Размер очереди регулируется параметром `queue_depth`
`queue_file`	Путь к файлу, используемому для очереди событий, если установлен режим переадресации. По умолчанию - `/var/spool/audit/remote.log`
`queue_depth`	Целое число, определяющее, сколько записей может быть помещено в буфер на диске или в памяти, прежде чем считать отправку ошибочной. Данный параметр влияет на режим пересылки в `mode` и на внутреннюю очередь при временных сбоях в работе сети. По умолчанию `2048`
`format`	Указание, какой формат данных будет использоваться для сообщений, отправляемых по сети. По умолчанию используется `managed`, что увеличивает некоторые накладные расходы для обеспечения правильной обработки каждого сообщения на удаленном сервере и получения сообщений о состоянии с удаленного сервера. Если вместо него используется менее надежный, упрощенный протокол `ascii`, то каждое сообщение представляет собой простую текстовую строку в формате ASCII без каких-либо дополнительных затрат. Указание формата необходимо при выборе режима `forward`
`network_retry_time`	Время в секундах между повторными попытками при обнаружении сетевой ошибки. Пауза применяется после второй попытки, чтобы избежать ненужных задержек, если для устранения проблемы достаточно повторного подключения. Значение по умолчанию равно `1` секунде
`max_tries_per_record`	Максимальное количество попыток доставки каждого сообщения. Минимальное значение равно единице. Если сделано слишком много попыток, выполняется `network_failure_action` (см. ниже). Значение по умолчанию равно `3`
`max_time_per_record`	Максимальное время в секундах, затрачиваемое на отправку каждого сообщения. Данный параметр следует задавать совместно с `max_tries_per_record`, поскольку на ожидание каждой попытки может уходить много времени. Значение по умолчанию равно `5` секундам. Если для обработки сообщения используется слишком много времени, выполняется `network_failure_action` (см. ниже)
`heartbeat_timeout`	Определение, как часто в секундах клиент должен отправлять сообщение о состоянии ресурсов на удаленный сервер. Используется, чтобы клиент и сервер знали, что каждый из них активен и не завершал соединение. Это значение должно быть согласовано с параметром сервера `tcp_client_max_idle` в `auditd.conf` (подробнее см. в «Файл auditd.conf»). Значение по умолчанию равно `0`, что отключает отправку сообщения о сбое
`network_failure_action`	Указание системе, какие действия следует предпринять при обнаружении ошибки отправки событий аудита в удаленную систему. Допустимыми значениями являются `ignore`, `syslog`, `exec`, `warn_once_continue`, `warn_once`, `suspend`, `single`, `halt` и `stop`. Если установлено значение `ignore`, то приложение удаленного ведения журнала ничего не предпринимает. Если событие было отправлено, оно выводится из очереди. `syslog` - выдаст предупреждение системному журналу. Если событие было отправлено, оно выводится из очереди. Является значением по умолчанию. `exec /path-to-script` запустит указанный скрипт, без передачи ему дополнительных параметров. Если событие было отправлено, оно будет удалено из очереди. `warn_once_continue` похож на `syslog`, за исключением того, что `syslog` помещается только одно сообщение, пока событие не будет успешно передано. `warn_once` похож на `warn_once_continue`, за исключением того, что событие не выводится из очереди. `suspend` - приложение удаленного ведения журнала прекратит отправку записей в удаленную систему и продолжит работу. Если событие было отправлено, оно не будет удалено из очереди. `single` - приложение удаленного ведения журнала переведет систему в однопользовательский режим. Если событие было отправлено, оно не выводится из очереди. `halt` - выключение системы приложением удаленного ведения журнала. Если событие было отправлено, оно не выводится из очереди. `stop` - завершение работы приложения удаленного ведения журнала, при этом другие плагины останутся запущенными. Если событие было отправлено, оно не выводится из очереди. По умолчанию используется `stop`
`disk_low_action`	Аналогичное `network_failure_action` указание системе, какие действия следует предпринять, если удаленный сервер сигнализирует об ошибке нехватки диска. Значение по умолчанию - `ignore`
`disk_full_action`	Аналогичное `network_failure_action` указание системе, какие действия следует предпринять, если удаленный сервер сигнализирует об ошибке переполнения диска. Значение по умолчанию - `warn_once`
`disk_error_action`	Аналогичное `network_failure_action` указание системе, какие действия следует предпринять, если удаленный сервер сигнализирует об ошибке диска. Значение по умолчанию - `warn_once`
`remote_ending_action`	Аналогичное `network_failure_action` указание системе, какие действия следует предпринять, если сетевое соединение потеряно. У данного действия есть дополнительное значение - `reconnect`, указывающее удаленному подключаемому модулю попытаться переподключиться к серверу при получении следующей записи аудита. Если событие отправлялось, когда что-то инициировало это действие, оно не выводится из очереди. В случае неудачного повторного подключения запись аудита может быть утеряна. По умолчанию используется `reconnect`
`generic_error_action`	Аналогичное `network_failure_action` указание системе, какие действия следует предпринять, если удаленный сервер сигнализирует об ошибке, которую не удается распознать. По умолчанию это регистрируется в системном журнале `syslog`
`generic_warning_action`	Аналогичное `network_failure_action` указание системе, какие действия следует предпринять, если удаленный сервер выдает предупреждение, которое не удается распознать. По умолчанию `syslog`
`queue_error_action`	Аналогичное `network_failure_action` указание системе, какие действия следует предпринять, если возникает проблема при работе с локальной очередью записей. Значение по умолчанию - `stop`
`overflow_action`	Указание системе, какие действия следует предпринять в случае переполнения внутренней очереди событий. Допустимые значения - `ignore`, `syslog`, `suspend`, `single` и `halt`. Если установлено значение `ignore`, то приложение удаленного ведения журнала ничего не предпринимает. `syslog` - выдаст предупреждение системному журналу. Это значение используется по умолчанию. `suspend` - приложение прекратит отправку записей в удаленную систему и продолжит работу. `single` - приложение переведет систему в однопользовательский режим. При выборе `halt` приложение удаленного ведения журнала завершит работу системы
`startup_failure_action`	Указание, какие действия следует предпринять при возникновении ошибки подключения к удаленной системе во время запуска. Как правило, по умолчанию плагин пытается восстановить подключение до тех пор, пока это не завершится успешно. Допустимыми значениями являются `ignore`, `syslog`, `exec`, `warn_once` и `warn_once_continue`. Если установлено значение `ignore`, то приложение удаленного ведения журнала ничего не предпринимает. `syslog` - выдаст предупреждение системному журналу. `exec /path-to-script` запустит указанный скрипт, без передачи ему дополнительных параметров. `warn_once` похож на `syslog`, за исключением того, что в `syslog` помещается только одно сообщение, пока событие не будет успешно передано. `warn_once_continue` похож на `warn_once`, за исключением того, что данный параметр игнорирует проблему. По умолчанию `warn_once_continue`
`enable_krb5`	Устаревший параметр. Используйте `transport`, чтобы включить поддержку Kerberos. Если данный параметр соответствует `transport`, то он переопределит настройку транспортировки, что является нормальным ожидаемым поведение для обеспечения обратной совместимости. Если установлено значение `yes`, для аутентификации и шифрования будет использоваться Kerberos 5. По умолчанию установлено `no`. Обратите внимание, что шифрование может использоваться только с управляемыми подключениями, а не с обычным ASCII
`krb5_principal`	Возможность задать предполагаемого администратора доступа для сервера. Клиент и сервер будут использовать указанного участника для согласования шифрования. Если не указано, то используются значения `krb5_client_name` и `remote_server`
`krb5_client_name`	Указание части имени администратора доступа клиента. Если не указано, то по умолчанию используется `audited`. Оставшаяся часть будет состоять из полного доменного имени хоста и поименованной области Kerberos по умолчанию. Например, `auditd/host14.example.com@EXAMPLE.COM` (при условии, что `auditd` указан в качестве имени `krb_client_name`). Обратите внимание, что клиент и сервер должны иметь одинаковое имя администратора доступа и поименованную область
`krb5_key_file`	Расположение ключа для администратора доступа клиента. Файл ключа должен принадлежать пользователю `root` и иметь режим `0400`. По умолчанию используется файл `/etc/audisp/audisp-remote.key`

Пример записей#

##remote_server =
port = 60
##local_port =
transport = tcp
queue_file = /var/spool/audit/remote.log
mode = immediate
queue_depth = 10240
format = managed
network_retry_time = 1
max_tries_per_record = 3
max_time_per_record = 5
heartbeat_timeout = 0

network_failure_action = stop
disk_low_action = ignore
disk_full_action = warn_once
disk_error_action = warn_once
remote_ending_action = reconnect
generic_error_action = syslog
generic_warning_action = syslog
queue_error_action = stop
overflow_action = syslog
startup_failure_action = warn_once_continue

##krb5_principal =
krb5_client_name = auditd
krb5_key_file = /etc/audisp/audisp-remote.key

В примере строки, начинающиеся с ##, являются комментариями и игнорируются.