linux audit notes

Конфигурация auditd

Основные настройки userspace-демона auditd. Это не полный список - см. man auditd.conf

# Параметр Значение по умолчанию Возможные значения Описание

#	Параметр	Значение по умолчанию	Возможные значения	Описание
1	local_events	yes	yes,no	Записывать или нет события от локальной системы, в которой запущен сервис auditd. Выставить значение в no, если: сервис auditd запущен внутри контейнера, из-за чего нет связи с ядерным процессом kauditd через NETLINK-сокет.
2	write_logs	yes	yes,no	Записывать получаемые события в файл журнала на диске Выставить значение в no, если: сервис auditd используется только для передачи событий аудита диспетчеру audispd.
3	log_file	/var/log/audit/audit.log	/path/to/audit/log	Полный путь к файлу локального журнала.
4	log_group	root	Существующая группа пользователей	Имя группы пользователей, у которой есть доступ к журналам событий. Владелец и права доступа к каталогу с журналом событий по умолчанию: `drwx------. 2 root root 23 мар 26 2019 audit` Выставить значение в имя требуемой группы, если требуется забирать журналы аудита процессом, запущенным от непривилегированного пользователя (например, когда исполняемый файл сборщика логов нельзя добавлять в группу `root` и на исполняемый файл нельзя назначить `CAP_DAC_READ_SEARCH`).
5	log_format	RAW	RAW ENRICHED	Формат события, в котором событие аудита будет записано в журнал.
6	flush	INCREMENTAL_ASYNC	NONE DATA SYNC INCREMENTAL INCREMENTAL_ASYNC	Режим записи событий аудита на диск. NONE - не управлять сбросом данных на диск. DATA - синхронизация очереди событий с журналом событий на диске. SYNC - синхронизация очереди событий, включая метаданные, с журналом событий на диске. INCREMENTAL - сбрасывать буфер данных на диск каждые freq записей. INCREMENTAL_ASYNC - асинхронно сбрасывать буфер данных на диск каждые freq записей (без блокировки).
7	freq	50	>= 0	Количество событий, которое сервис auditd запишет в журнал событий перед сбросом данных на диск (для режимов INCREMENTAL, INCREMENTAL_ASYNC).
8	max_log_file	8	>= 0	Максимальный размер файла журнала в мегабайтах. При достижении заданного значения выполнить действие, указанное в max_log_file_action.
9	num_logs	5	>= 0	Максимальное количество файлов журнала событий.
10	priority_boost	4	>= 0	Приоритет (nice) процесса auditd при запуске.
11	dispatcher	/sbin/audispd	Путь к исполняемому файлу	Путь к программе, на вход (stdin) которой демон auditd будет отправлять события аудита. Параметр актуален до версии auditd-3.0.0, с релизом которой кодовая база audispd была слита с auditd.
12	max_log_file_action	ROTATE	IGNORE SYSLOG SUSPEND ROTATE KEEP_LOGS	Действие, выполняемое при достижении размера max_log_file: IGNORE - не выполнять никаких действий. SYSLOG - отправить уведомление в syslog. SUSPEND - прекратить запись событий на диск. ROTATE - выполнить ротацию журналов c учётом максимального количества файлов, указанного параметром num_logs. KEEP_LOGS - выполнить ротацию журналов без учёта параметра num_logs - размер журналов будет расти до тех пор пока есть доступное место на разделе с журналом событий.
13	name_format	NONE	NONE HOSTNAME FQD NUMERIC USER	Формат имени хоста, вставляемого в начало каждой записи события аудита в поле `node=`. Используется при передаче событий диспетчеру audisp для однозначной идентификации отправителя сообщений. Возможно указание следующего формата: NONE - не подставлять имя хоста, отключить подстановку поля; HOSTNAME - подставлять имя хоста, возвращаемое функцией gethostname(); FQD - подставлять полное имя хоста + домен (FQDN) на основе запрошенного по DNS имени хоста; NUMERIC - подставлять IP-адрес на основе запрошенного по DNS имени хоста.
14	space_left	75	>= 0	Размер свободного места в мегабайтах на разделе c журналом событий, при достижении которого будет выполнено действие space_left_action. Начиная с auditd 2.8.5 можно задавать значение в виде процента оставшегося на разделе свободного места.
15	space_left_action	SYSLOG	IGNORE SYSLOG ROTATE EMAIL EXEC SUSPEND SINGLE HALT	Действие, выполняемое при уменьшении свободного пространства на разделе до значения space_left. Доступные значения: IGNORE - не выполнять никаких действий. SYSLOG - отправить сообщение в syslog. ROTATE - выполнить ротацию журнала. EMAIL - отправить предупреждение об оставшемся свободном месте по email на адрес, указанный в параметре action_mail_acct (не описан в данной таблице) . Также отправить уведомление в syslog. EXEC [путь к скрипту] - запустить указанный скрипт, без возможности указания аргументов. SUSPEND - остановить запись событий на диск, не останавливая сервис auditd. SINGLE - сменить уровень выполнения на однопользовательский. HALT - выключить систему.
16	admin_space_left	50	space_left > admin_space_left >= 0	Размер свободного места в мегабайтах на разделе с журналом событий, при достижении которого будет выполнено действие admin_space_left_action. Значение должно быть меньше space_left.
17	admin_space_left_action	SUSPEND	IGNORE SYSLOG ROTATE EMAIL EXEC SUSPEND SINGLE HALT	Последнее предупреждение от системы аудита - действие, выполняемое перед тем как закончится свободное место на разделе с журналом событий. Значения те же, что и для параметра space_left_action.
18	disk_full_action	SUSPEND	IGNORE SYSLOG ROTATE EMAIL EXEC SUSPEND SINGLE HALT	Действие, выполняемое при обнаружении системой аудита нехватки свободного места на разделе с журналом событий. Значения те же, что и для параметра space_left_action.
19	disk_error_action	SUSPEND	IGNORE SYSLOG ROTATE EMAIL EXEC SUSPEND SINGLE HALT	Действие, выполняемое при обнаружении ошибки записи в журнал событий или при ошибке ротации файлов журнала событий. Значения те же, что и для параметра space_left_action.

local_events

yes

yes,no

Записывать или нет события от локальной системы, в которой запущен сервис auditd. Выставить значение в no, если: сервис auditd запущен внутри контейнера, из-за чего нет связи с ядерным процессом kauditd через NETLINK-сокет.

write_logs

yes

yes,no

Записывать получаемые события в файл журнала на диске Выставить значение в no, если: сервис auditd используется только для передачи событий аудита диспетчеру audispd.

log_file

/var/log/audit/audit.log

/path/to/audit/log

Полный путь к файлу локального журнала.

log_group

root

Существующая группа пользователей

Имя группы пользователей, у которой есть доступ к журналам событий. Владелец и права доступа к каталогу с журналом событий по умолчанию: drwx------. 2 root root 23 мар 26 2019 audit
Выставить значение в имя требуемой группы, если требуется забирать журналы аудита процессом, запущенным от непривилегированного пользователя (например, когда исполняемый файл сборщика логов нельзя добавлять в группу root и на исполняемый файл нельзя назначить CAP_DAC_READ_SEARCH).

log_format

RAW

RAW
ENRICHED

Формат события, в котором событие аудита будет записано в журнал.

flush

INCREMENTAL_ASYNC

NONE
DATA
SYNC
INCREMENTAL
INCREMENTAL_ASYNC

Режим записи событий аудита на диск.

NONE - не управлять сбросом данных на диск.
DATA - синхронизация очереди событий с журналом событий на диске.
SYNC - синхронизация очереди событий, включая метаданные, с журналом событий на диске.
INCREMENTAL - сбрасывать буфер данных на диск каждые freq записей.
INCREMENTAL_ASYNC - асинхронно сбрасывать буфер данных на диск каждые freq записей (без блокировки).

freq

>= 0

Количество событий, которое сервис auditd запишет в журнал событий перед сбросом данных на диск (для режимов INCREMENTAL, INCREMENTAL_ASYNC).

max_log_file

>= 0

Максимальный размер файла журнала в мегабайтах. При достижении заданного значения выполнить действие, указанное в max_log_file_action.

num_logs

>= 0

Максимальное количество файлов журнала событий.

priority_boost

>= 0

Приоритет (nice) процесса auditd при запуске.

dispatcher

/sbin/audispd

Путь к исполняемому файлу

Путь к программе, на вход (stdin) которой демон auditd будет отправлять события аудита. Параметр актуален до версии auditd-3.0.0, с релизом которой кодовая база audispd была слита с auditd.

max_log_file_action

ROTATE

IGNORE
SYSLOG
SUSPEND
ROTATE
KEEP_LOGS

Действие, выполняемое при достижении размера max_log_file:

IGNORE - не выполнять никаких действий.
SYSLOG - отправить уведомление в syslog.
SUSPEND - прекратить запись событий на диск.
ROTATE - выполнить ротацию журналов c учётом максимального количества файлов, указанного параметром num_logs.
KEEP_LOGS - выполнить ротацию журналов без учёта параметра num_logs - размер журналов будет расти до тех пор пока есть доступное место на разделе с журналом событий.

name_format

NONE

NONE
HOSTNAME
FQD
NUMERIC
USER

Формат имени хоста, вставляемого в начало каждой записи события аудита в поле node=. Используется при передаче событий диспетчеру audisp для однозначной идентификации отправителя сообщений. Возможно указание следующего формата:

NONE - не подставлять имя хоста, отключить подстановку поля;
HOSTNAME - подставлять имя хоста, возвращаемое функцией gethostname();
FQD - подставлять полное имя хоста + домен (FQDN) на основе запрошенного по DNS имени хоста;
NUMERIC - подставлять IP-адрес на основе запрошенного по DNS имени хоста.

space_left

>= 0

Размер свободного места в мегабайтах на разделе c журналом событий, при достижении которого будет выполнено действие space_left_action.

Начиная с auditd 2.8.5 можно задавать значение в виде процента оставшегося на разделе свободного места.

space_left_action

SYSLOG

IGNORE
SYSLOG
ROTATE
EMAIL
EXEC
SUSPEND
SINGLE
HALT

Действие, выполняемое при уменьшении свободного пространства на разделе до значения space_left. Доступные значения:

IGNORE - не выполнять никаких действий.
SYSLOG - отправить сообщение в syslog.
ROTATE - выполнить ротацию журнала.
EMAIL - отправить предупреждение об оставшемся свободном месте по email на адрес, указанный в параметре action_mail_acct (не описан в данной таблице) . Также отправить уведомление в syslog.
EXEC [путь к скрипту] - запустить указанный скрипт, без возможности указания аргументов.
SUSPEND - остановить запись событий на диск, не останавливая сервис auditd.
SINGLE - сменить уровень выполнения на однопользовательский.
HALT - выключить систему.

admin_space_left

space_left > admin_space_left >= 0

Размер свободного места в мегабайтах на разделе с журналом событий, при достижении которого будет выполнено действие admin_space_left_action.

Значение должно быть меньше space_left.

admin_space_left_action

SUSPEND

IGNORE
SYSLOG
ROTATE
EMAIL
EXEC
SUSPEND
SINGLE
HALT

Последнее предупреждение от системы аудита - действие, выполняемое перед тем как закончится свободное место на разделе с журналом событий.

Значения те же, что и для параметра space_left_action.

disk_full_action

SUSPEND

IGNORE
SYSLOG
ROTATE
EMAIL
EXEC
SUSPEND
SINGLE
HALT

Действие, выполняемое при обнаружении системой аудита нехватки свободного места на разделе с журналом событий.

Значения те же, что и для параметра space_left_action.

disk_error_action

SUSPEND

IGNORE
SYSLOG
ROTATE
EMAIL
EXEC
SUSPEND
SINGLE
HALT

Действие, выполняемое при обнаружении ошибки записи в журнал событий или при ошибке ротации файлов журнала событий.

Значения те же, что и для параметра space_left_action.