Alterator-audit: различия между версиями
Нет описания правки |
|||
(не показана 1 промежуточная версия этого же участника) | |||
Строка 1: | Строка 1: | ||
{{ | == Название пакета == | ||
{{pkg|alterator-audit}} | |||
== Назначение == | == Назначение == | ||
Модуль | Модуль '''Системный аудит''' предназначен для создания правил системы аудита и просмотра отчётов. | ||
== Запуск == | == Запуск == | ||
Модуль | Модуль '''Системный аудит''' доступен в GUI (раздел {{nav|Система|Системный аудит}}): | ||
[[Файл:Alterator-audit.png|Интерфейс модуля alterator-audit]] | [[Файл:Alterator-audit.png|Интерфейс модуля alterator-audit]] | ||
Строка 14: | Строка 16: | ||
=== Запуск/останов службы аудита === | === Запуск/останов службы аудита === | ||
Статус службы аудита отображается рядом с полем | Статус службы аудита отображается рядом с полем «Состояние» («Status»). | ||
Запустить службу можно, нажав на кнопку «Inactive», остановить — нажав на кнопку «Active». | |||
=== Просмотр записей аудита === | |||
Для просмотра записей аудита следует выбрать в списке «Отчёт» («Report») необходимый отчёт, например: | |||
* auth — отчёт о попытках аутентификации; | |||
* config — отчёт об изменениях конфигурации; | |||
* file — отчёт о файлах; | |||
* login — отчёт о попытках входа в систему. | |||
Пример отчёта о попытках входа в систему: | |||
[[Файл:Alterator-audit-log.png|Просмотр лога аудита]] | [[Файл:Alterator-audit-log.png|Просмотр лога аудита]] | ||
В отчёте указывается дата и время попытки, пользователь, адрес хоста, успешность события (по умолчанию показываются как удачные, так и неудачные события). | |||
Для дополнительной фильтрации данных в отчёте можно указать параметры фильтра: | |||
* «Успешно» («Success») — выбирать только удачные события; | |||
* «Неудачно» («Failed») — выбирать только неудачные события; | |||
* «Итог» («Summary») — генерировать итоговый отчет, который дает информацию только о количестве элементов; | |||
* «Транслировать» («Interplet») — транслировать числовые значения в текстовые (например, идентификатор пользователя будет транслирован в имя пользователя); | |||
* «Время» («time») — задать временные ограничения события. | |||
Для сохранения выбранных параметров необходимо нажать кнопку «Добавить» («Add»). | |||
Для просмотра логов, удовлетворяющих данным параметрам — кнопку «Обновить» («Update»). | |||
Пример отчёта с дополнительной фильтрацией данных: | |||
[[Файл:Alterator-audit-log2.png|Настройка вывода отчёта]] | [[Файл:Alterator-audit-log2.png|Настройка вывода отчёта]] | ||
Строка 45: | Строка 50: | ||
=== Добавление/Удаление правил аудита === | === Добавление/Удаление правил аудита === | ||
Для перехода к окну редактирования правил аудита | Для перехода к окну редактирования правил аудита необходимо нажать кнопку «Установить правила» («Setting Rules»). | ||
Откроется окно редактирования правил аудита: | |||
[[Файл:Alterator-audit-rules.png| | [[Файл:Alterator-audit-rules.png|Окно редактирования правил аудита]] | ||
В | В поле «Правила» («Rules») отображаются существующие правила и их статус. | ||
Для создания нового правила необходимо: | Для создания нового правила необходимо: | ||
# Ввести название правила | # Ввести название правила. | ||
# Добавить точку наблюдения за файловым объектом (указать путь к файлу | # Добавить точку наблюдения за файловым объектом (указать путь к файлу/каталогу, за которым будет осуществляться наблюдение). | ||
# Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов) | # Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов). | ||
# Отметить пункт «Активировать правило» («Activate rule») | # Отметить пункт «Активировать правило» («Activate rule»). | ||
# Нажать кнопку «Добавить правило» («Add rule») | # Нажать кнопку «Добавить правило» («Add rule»). | ||
[[Файл:Alterator-audit-rules1.png|Создание нового правила]] | [[Файл:Alterator-audit-rules1.png|Создание нового правила]] | ||
Для более тонкой настройки правил необходимо отметить пункт «Expert mode». Окно редактирования правил, в расширенном режиме: | Для более тонкой настройки правил необходимо отметить пункт «Режим эксперта» («Expert mode»). | ||
Окно редактирования правил, в расширенном режиме: | |||
[[Файл:Alterator-audit-rules-expert.png|Редактирование правил аудита в расширенном режиме]] | [[Файл:Alterator-audit-rules-expert.png|Редактирование правил аудита в расширенном режиме]] | ||
В этом | В этом режиме в поле «Правило» («Rule») можно выбрать список событий, в который следует добавить правило: | ||
* «task» — список, отвечающий за процессы; | |||
* «entry» — список, отвечающий за точки входа системных вызовов; | |||
* «exit» — список, отвечающий за точки выхода из системных вызовов; | |||
* «user» — список фильтрации пользовательских сообщений; | |||
* «exclude» — список фильтрации сообщений определённого типа. | |||
В поле «Действие» можно выбрать действие, которое должно произойти в ответ на возникшее событие: | |||
* «always» — генерировать запись при выходе из системного вызова; | |||
* «newer» — аудит не будет генерировать никаких записей. | |||
В поле «Системный вызов» («Syscall») указывается имя системного вызова, при обращении к которому должен срабатывать триггер (например, open, close, exit). Вместо имени может быть использовано числовое значение. | |||
Фильтров может быть задано несколько: | Дополнительно можно настроить параметры фильтрации событий. Для этого нужно выбрать объект поля сравнения, задать операцию сравнения, ввести значение поля сравнения и нажать кнопку «Добавить фильтр» («Add filter»). Фильтров может быть задано несколько: | ||
[[Файл:Alterator-audit-rules-expert2.png|Редактирование правил аудита в расширенном режиме]] | [[Файл:Alterator-audit-rules-expert2.png|Редактирование правил аудита в расширенном режиме]] | ||
Для возврата в главное окно необходимо нажать кнопку «Back». | Для возврата в главное окно необходимо нажать кнопку «Назад» («Back»). | ||
{{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}} | {{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}} |
Текущая версия от 18:51, 26 октября 2023
Название пакета
alterator-audit
Назначение
Модуль Системный аудит предназначен для создания правил системы аудита и просмотра отчётов.
Запуск
Модуль Системный аудит доступен в GUI (раздел Система ▷ Системный аудит):
Использование модуля
Запуск/останов службы аудита
Статус службы аудита отображается рядом с полем «Состояние» («Status»).
Запустить службу можно, нажав на кнопку «Inactive», остановить — нажав на кнопку «Active».
Просмотр записей аудита
Для просмотра записей аудита следует выбрать в списке «Отчёт» («Report») необходимый отчёт, например:
- auth — отчёт о попытках аутентификации;
- config — отчёт об изменениях конфигурации;
- file — отчёт о файлах;
- login — отчёт о попытках входа в систему.
Пример отчёта о попытках входа в систему:
В отчёте указывается дата и время попытки, пользователь, адрес хоста, успешность события (по умолчанию показываются как удачные, так и неудачные события).
Для дополнительной фильтрации данных в отчёте можно указать параметры фильтра:
- «Успешно» («Success») — выбирать только удачные события;
- «Неудачно» («Failed») — выбирать только неудачные события;
- «Итог» («Summary») — генерировать итоговый отчет, который дает информацию только о количестве элементов;
- «Транслировать» («Interplet») — транслировать числовые значения в текстовые (например, идентификатор пользователя будет транслирован в имя пользователя);
- «Время» («time») — задать временные ограничения события.
Для сохранения выбранных параметров необходимо нажать кнопку «Добавить» («Add»). Для просмотра логов, удовлетворяющих данным параметрам — кнопку «Обновить» («Update»).
Пример отчёта с дополнительной фильтрацией данных:
Добавление/Удаление правил аудита
Для перехода к окну редактирования правил аудита необходимо нажать кнопку «Установить правила» («Setting Rules»). Откроется окно редактирования правил аудита:
В поле «Правила» («Rules») отображаются существующие правила и их статус.
Для создания нового правила необходимо:
- Ввести название правила.
- Добавить точку наблюдения за файловым объектом (указать путь к файлу/каталогу, за которым будет осуществляться наблюдение).
- Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов).
- Отметить пункт «Активировать правило» («Activate rule»).
- Нажать кнопку «Добавить правило» («Add rule»).
Для более тонкой настройки правил необходимо отметить пункт «Режим эксперта» («Expert mode»).
Окно редактирования правил, в расширенном режиме:
В этом режиме в поле «Правило» («Rule») можно выбрать список событий, в который следует добавить правило:
- «task» — список, отвечающий за процессы;
- «entry» — список, отвечающий за точки входа системных вызовов;
- «exit» — список, отвечающий за точки выхода из системных вызовов;
- «user» — список фильтрации пользовательских сообщений;
- «exclude» — список фильтрации сообщений определённого типа.
В поле «Действие» можно выбрать действие, которое должно произойти в ответ на возникшее событие:
- «always» — генерировать запись при выходе из системного вызова;
- «newer» — аудит не будет генерировать никаких записей.
В поле «Системный вызов» («Syscall») указывается имя системного вызова, при обращении к которому должен срабатывать триггер (например, open, close, exit). Вместо имени может быть использовано числовое значение.
Дополнительно можно настроить параметры фильтрации событий. Для этого нужно выбрать объект поля сравнения, задать операцию сравнения, ввести значение поля сравнения и нажать кнопку «Добавить фильтр» («Add filter»). Фильтров может быть задано несколько:
Для возврата в главное окно необходимо нажать кнопку «Назад» («Back»).