Alterator-audit
Название пакета
alterator-audit
Назначение
Модуль Системный аудит предназначен для создания правил системы аудита и просмотра отчётов.
Запуск
Модуль Системный аудит доступен в GUI (раздел Система ▷ Системный аудит):
Использование модуля
Запуск/останов службы аудита
Статус службы аудита отображается рядом с полем «Состояние» («Status»).
Запустить службу можно, нажав на кнопку «Inactive», остановить — нажав на кнопку «Active».
Просмотр записей аудита
Для просмотра записей аудита следует выбрать в списке «Отчёт» («Report») необходимый отчёт, например:
- auth — отчёт о попытках аутентификации;
- config — отчёт об изменениях конфигурации;
- file — отчёт о файлах;
- login — отчёт о попытках входа в систему.
Пример отчёта о попытках входа в систему:
В отчёте указывается дата и время попытки, пользователь, адрес хоста, успешность события (по умолчанию показываются как удачные, так и неудачные события).
Для дополнительной фильтрации данных в отчёте можно указать параметры фильтра:
- «Успешно» («Success») — выбирать только удачные события;
- «Неудачно» («Failed») — выбирать только неудачные события;
- «Итог» («Summary») — генерировать итоговый отчет, который дает информацию только о количестве элементов;
- «Транслировать» («Interplet») — транслировать числовые значения в текстовые (например, идентификатор пользователя будет транслирован в имя пользователя);
- «Время» («time») — задать временные ограничения события.
Для сохранения выбранных параметров необходимо нажать кнопку «Добавить» («Add»). Для просмотра логов, удовлетворяющих данным параметрам — кнопку «Обновить» («Update»).
Пример отчёта с дополнительной фильтрацией данных:
Добавление/Удаление правил аудита
Для перехода к окну редактирования правил аудита необходимо нажать кнопку «Установить правила» («Setting Rules»). Откроется окно редактирования правил аудита:
В поле «Правила» («Rules») отображаются существующие правила и их статус.
Для создания нового правила необходимо:
- Ввести название правила.
- Добавить точку наблюдения за файловым объектом (указать путь к файлу/каталогу, за которым будет осуществляться наблюдение).
- Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов).
- Отметить пункт «Активировать правило» («Activate rule»).
- Нажать кнопку «Добавить правило» («Add rule»).
Для более тонкой настройки правил необходимо отметить пункт «Режим эксперта» («Expert mode»).
Окно редактирования правил, в расширенном режиме:
В этом режиме в поле «Правило» («Rule») можно выбрать список событий, в который следует добавить правило:
- «task» — список, отвечающий за процессы;
- «entry» — список, отвечающий за точки входа системных вызовов;
- «exit» — список, отвечающий за точки выхода из системных вызовов;
- «user» — список фильтрации пользовательских сообщений;
- «exclude» — список фильтрации сообщений определённого типа.
В поле «Действие» можно выбрать действие, которое должно произойти в ответ на возникшее событие:
- «always» — генерировать запись при выходе из системного вызова;
- «newer» — аудит не будет генерировать никаких записей.
В поле «Системный вызов» («Syscall») указывается имя системного вызова, при обращении к которому должен срабатывать триггер (например, open, close, exit). Вместо имени может быть использовано числовое значение.
Дополнительно можно настроить параметры фильтрации событий. Для этого нужно выбрать объект поля сравнения, задать операцию сравнения, ввести значение поля сравнения и нажать кнопку «Добавить фильтр» («Add filter»). Фильтров может быть задано несколько:
Для возврата в главное окно необходимо нажать кнопку «Назад» («Back»).