Alterator-audit: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
 
Строка 1: Строка 1:
{{Stub}}
== Название пакета ==
 
{{pkg|alterator-audit}}


== Назначение ==
== Назначение ==
Модуль {{pkg|alterator-audit}} предназначен для создания правил системы аудита и просмотра отчётов.
Модуль '''Системный аудит''' предназначен для создания правил системы аудита и просмотра отчётов.


== Запуск ==
== Запуск ==


Модуль {{pkg|alterator-audit}} доступен в GUI (раздел {{nav|Система|Системный аудит}}):
Модуль '''Системный аудит''' доступен в GUI (раздел {{nav|Система|Системный аудит}}):


[[Файл:Alterator-audit.png|Интерфейс модуля alterator-audit]]
[[Файл:Alterator-audit.png|Интерфейс модуля alterator-audit]]
Строка 14: Строка 16:
=== Запуск/останов службы аудита ===
=== Запуск/останов службы аудита ===


Статус службы аудита отображается рядом с полем «Status:». Запустить службу можно нажав на кнопку [[Файл:Alterator-audit_inactive.png]], остановить нажав на [[Файл:Alterator-audit_active.png]] соответственно.
Статус службы аудита отображается рядом с полем «Состояние» («Status»).
 
Запустить службу можно, нажав на кнопку «Inactive», остановить нажав на кнопку «Active».
 
=== Просмотр записей аудита ===


=== Просмотр лога аудита ===
Для просмотра записей аудита следует выбрать в списке «Отчёт» («Report») необходимый отчёт, например:
* auth — отчёт о попытках аутентификации;
* config — отчёт об изменениях конфигурации;
* file — отчёт о файлах;
* login — отчёт о попытках входа в систему.


Для просмотра записей аудита выберите в списке «Report» необходимый отчёт. Например:
Пример отчёта о попытках входа в систему:
* auth — отчёт о попытках аутентификации
* config — отчёт об изменениях конфигурации
* file — отчёт о файлах
* login — отчёт о попытках входа в систему


[[Файл:Alterator-audit-log.png|Просмотр лога аудита]]
[[Файл:Alterator-audit-log.png|Просмотр лога аудита]]


Если выбрать тип отчёта - auth, будут выведены сообщения о попытках аутентификации:
В отчёте указывается дата и время попытки, пользователь, адрес хоста, успешность события (по умолчанию показываются как удачные, так и неудачные события).


[[Файл:Alterator-audit-log1.png|Просмотр лога о попытках аутентификации]]
Для дополнительной фильтрации данных в отчёте можно указать параметры фильтра:
* «Успешно» («Success») — выбирать только удачные события;
* «Неудачно» («Failed») — выбирать только неудачные события;
* «Итог» («Summary») — генерировать итоговый отчет, который дает информацию только о количестве элементов;
* «Транслировать» («Interplet») — транслировать числовые значения в текстовые (например, идентификатор пользователя будет транслирован в имя пользователя);
* «Время» («time») — задать временные ограничения события.


При этом указывается дата и время попытки, имя пользователя, адрес хоста, успешность попытки (удачные и неудачные).
Для сохранения выбранных параметров необходимо нажать кнопку «Добавить» («Add»).
Для просмотра логов, удовлетворяющих данным параметрам — кнопку «Обновить» («Update»).


Для дополнительной фильтрации данных в отчете можно указать опции фильтра:
Пример отчёта с дополнительной фильтрацией данных:
* «Success» — только удачные события
* «Failed» — только неудачные события
* «Summary» — информация только о количестве элементов
* «Interplet» — транслировать числовые значения в текстовые
* «time» — задать временные ограничения
 
Для сохранения выбранных опций нажмите кнопку «Add». Для просмотра логов, удовлетворяющих данным опциям - кнопку «Update»


[[Файл:Alterator-audit-log2.png|Настройка вывода отчёта]]
[[Файл:Alterator-audit-log2.png|Настройка вывода отчёта]]
Строка 45: Строка 50:
=== Добавление/Удаление правил аудита ===
=== Добавление/Удаление правил аудита ===


Для перехода к окну редактирования правил аудита, нажмите на кнопку «Setting Rules». Откроется окно:
Для перехода к окну редактирования правил аудита необходимо нажать кнопку «Установить правила» («Setting Rules»).  
Откроется окно редактирования правил аудита:


[[Файл:Alterator-audit-rules.png|Редактирование правил аудита]]
[[Файл:Alterator-audit-rules.png|Окно редактирования правил аудита]]


В окне Rules отображаются существующие правила и их статус.
В поле «Правила» («Rules») отображаются существующие правила и их статус.


Для создания нового правила необходимо:
Для создания нового правила необходимо:
# Ввести название правила
# Ввести название правила.
# Добавить точку наблюдения за файловым объектом (указать путь к файлу (каталогу), за которым будет осуществляться наблюдение)
# Добавить точку наблюдения за файловым объектом (указать путь к файлу/каталогу, за которым будет осуществляться наблюдение).
# Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов)
# Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов).
# Отметить пункт «Активировать правило» («Activate rule»)
# Отметить пункт «Активировать правило» («Activate rule»).
# Нажать кнопку «Добавить правило» («Add rule»)
# Нажать кнопку «Добавить правило» («Add rule»).


[[Файл:Alterator-audit-rules1.png|Создание нового правила]]
[[Файл:Alterator-audit-rules1.png|Создание нового правила]]


Для более тонкой настройки правил необходимо отметить пункт «Expert mode». Окно редактирования правил, в расширенном режиме:
Для более тонкой настройки правил необходимо отметить пункт «Режим эксперта» («Expert mode»).
 
Окно редактирования правил, в расширенном режиме:


[[Файл:Alterator-audit-rules-expert.png|Редактирование правил аудита в расширенном режиме]]
[[Файл:Alterator-audit-rules-expert.png|Редактирование правил аудита в расширенном режиме]]


В этом окне можно выбрать список событий, в который следует добавить правило (список «Rule»):
В этом режиме в поле «Правило» («Rule») можно выбрать список событий, в который следует добавить правило:
 
* «task» — список, отвечающий за процессы;
[[Файл:Alterator-audit-rule.png|Список событий]]
* «entry» — список, отвечающий за точки входа системных вызовов;
 
* «exit» — список, отвечающий за точки выхода из системных вызовов;
Доступны следующие списки:
* «user» — список фильтрации пользовательских сообщений;
# task - список, отвечающий за процессы
* «exclude» — список фильтрации сообщений определённого типа.
# entry - список, отвечающий за точки входа системных вызовов
# exit - список, отвечающий за точки выхода из системных вызовов  
# user - список фильтрации пользовательских сообщений
# exclude - список фильтрации сообщений определённого типа.
 
Далее выбирается действие «Action», которое должно произойти в ответ на возникшее событие:
* always - генерировать запись при выходе из системного вызова
* newer - аудит не будет генерировать никаких записей
 
[[Файл:Alterator-audit-action.png|Action]]
 
В поле «Syscall» указывается имя системного вызова, при обращении к которму должен срабатывать триггер (например, open, close, exit).
 
Дополнительные можно настроить параметры фильтрации событий. Для этого в первом списке нужно выбрать объект поля сравнения:
 
[[Файл:Alterator-audit-o.png|Выбор объекта поля сравнения]]
 
Затем задать операцию сравнения. Допустимые операции выбираются в списке:


[[Файл:Alterator-audit-o1.png|Выбор операции]]
В поле «Действие» можно выбрать действие, которое должно произойти в ответ на возникшее событие:
* «always» — генерировать запись при выходе из системного вызова;
* «newer» — аудит не будет генерировать никаких записей.


Далее необходимо ввести значение поля сравнения и нажать кнопку «Add filter».
В поле «Системный вызов» («Syscall») указывается имя системного вызова, при обращении к которому должен срабатывать триггер (например, open, close, exit). Вместо имени может быть использовано числовое значение.


Фильтров может быть задано несколько:
Дополнительно можно настроить параметры фильтрации событий. Для этого нужно выбрать объект поля сравнения, задать операцию сравнения, ввести значение поля сравнения и нажать кнопку «Добавить фильтр» («Add filter»). Фильтров может быть задано несколько:


[[Файл:Alterator-audit-rules-expert2.png|Редактирование правил аудита в расширенном режиме]]  
[[Файл:Alterator-audit-rules-expert2.png|Редактирование правил аудита в расширенном режиме]]  


Для возврата в главное окно необходимо нажать кнопку «Back».
Для возврата в главное окно необходимо нажать кнопку «Назад» («Back»).


{{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}}
{{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}}

Текущая версия от 18:51, 26 октября 2023

Название пакета

alterator-audit

Назначение

Модуль Системный аудит предназначен для создания правил системы аудита и просмотра отчётов.

Запуск

Модуль Системный аудит доступен в GUI (раздел Система ▷ Системный аудит):

Интерфейс модуля alterator-audit

Использование модуля

Запуск/останов службы аудита

Статус службы аудита отображается рядом с полем «Состояние» («Status»).

Запустить службу можно, нажав на кнопку «Inactive», остановить — нажав на кнопку «Active».

Просмотр записей аудита

Для просмотра записей аудита следует выбрать в списке «Отчёт» («Report») необходимый отчёт, например:

  • auth — отчёт о попытках аутентификации;
  • config — отчёт об изменениях конфигурации;
  • file — отчёт о файлах;
  • login — отчёт о попытках входа в систему.

Пример отчёта о попытках входа в систему:

Просмотр лога аудита

В отчёте указывается дата и время попытки, пользователь, адрес хоста, успешность события (по умолчанию показываются как удачные, так и неудачные события).

Для дополнительной фильтрации данных в отчёте можно указать параметры фильтра:

  • «Успешно» («Success») — выбирать только удачные события;
  • «Неудачно» («Failed») — выбирать только неудачные события;
  • «Итог» («Summary») — генерировать итоговый отчет, который дает информацию только о количестве элементов;
  • «Транслировать» («Interplet») — транслировать числовые значения в текстовые (например, идентификатор пользователя будет транслирован в имя пользователя);
  • «Время» («time») — задать временные ограничения события.

Для сохранения выбранных параметров необходимо нажать кнопку «Добавить» («Add»). Для просмотра логов, удовлетворяющих данным параметрам — кнопку «Обновить» («Update»).

Пример отчёта с дополнительной фильтрацией данных:

Настройка вывода отчёта

Добавление/Удаление правил аудита

Для перехода к окну редактирования правил аудита необходимо нажать кнопку «Установить правила» («Setting Rules»). Откроется окно редактирования правил аудита:

Окно редактирования правил аудита

В поле «Правила» («Rules») отображаются существующие правила и их статус.

Для создания нового правила необходимо:

  1. Ввести название правила.
  2. Добавить точку наблюдения за файловым объектом (указать путь к файлу/каталогу, за которым будет осуществляться наблюдение).
  3. Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов).
  4. Отметить пункт «Активировать правило» («Activate rule»).
  5. Нажать кнопку «Добавить правило» («Add rule»).

Создание нового правила

Для более тонкой настройки правил необходимо отметить пункт «Режим эксперта» («Expert mode»).

Окно редактирования правил, в расширенном режиме:

Редактирование правил аудита в расширенном режиме

В этом режиме в поле «Правило» («Rule») можно выбрать список событий, в который следует добавить правило:

  • «task» — список, отвечающий за процессы;
  • «entry» — список, отвечающий за точки входа системных вызовов;
  • «exit» — список, отвечающий за точки выхода из системных вызовов;
  • «user» — список фильтрации пользовательских сообщений;
  • «exclude» — список фильтрации сообщений определённого типа.

В поле «Действие» можно выбрать действие, которое должно произойти в ответ на возникшее событие:

  • «always» — генерировать запись при выходе из системного вызова;
  • «newer» — аудит не будет генерировать никаких записей.

В поле «Системный вызов» («Syscall») указывается имя системного вызова, при обращении к которому должен срабатывать триггер (например, open, close, exit). Вместо имени может быть использовано числовое значение.

Дополнительно можно настроить параметры фильтрации событий. Для этого нужно выбрать объект поля сравнения, задать операцию сравнения, ввести значение поля сравнения и нажать кнопку «Добавить фильтр» («Add filter»). Фильтров может быть задано несколько:

Редактирование правил аудита в расширенном режиме

Для возврата в главное окно необходимо нажать кнопку «Назад» («Back»).