Alterator-audit
Назначение
Модуль alterator-audit предназначен для создания правил системы аудита и просмотра отчётов.
Запуск
Модуль alterator-audit доступен в GUI (раздел Система ▷ Системный аудит):
Использование модуля
Запуск/останов службы аудита
Статус службы аудита отображается рядом с полем «Status:». Запустить службу можно нажав на кнопку , остановить нажав на соответственно.
Просмотр лога аудита
Для просмотра записей аудита выберите в списке «Report» необходимый отчёт. Например:
- auth — отчёт о попытках аутентификации
- config — отчёт об изменениях конфигурации
- file — отчёт о файлах
- login — отчёт о попытках входа в систему
Если выбрать тип отчёта - auth, будут выведены сообщения о попытках аутентификации:
При этом указывается дата и время попытки, имя пользователя, адрес хоста, успешность попытки (удачные и неудачные).
Для дополнительной фильтрации данных в отчете можно указать опции фильтра:
- «Success» — только удачные события
- «Failed» — только неудачные события
- «Summary» — информация только о количестве элементов
- «Interplet» — транслировать числовые значения в текстовые
- «time» — задать временные ограничения
Для сохранения выбранных опций нажмите кнопку «Add». Для просмотра логов, удовлетворяющих данным опциям - кнопку «Update»
Добавление/Удаление правил аудита
Для перехода к окну редактирования правил аудита, нажмите на кнопку «Setting Rules». Откроется окно:
В окне Rules отображаются существующие правила и их статус.
Для создания нового правила необходимо:
- Ввести название правила
- Добавить точку наблюдения за файловым объектом (указать путь к файлу (каталогу), за которым будет осуществляться наблюдение)
- Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов)
- Отметить пункт «Активировать правило» («Activate rule»)
- Нажать кнопку «Добавить правило» («Add rule»)
Для более тонкой настройки правил необходимо отметить пункт «Expert mode». Окно редактирования правил, в расширенном режиме:
В этом окне можно выбрать список событий, в который следует добавить правило (список «Rule»):
Доступны следующие списки:
- task - список, отвечающий за процессы
- entry - список, отвечающий за точки входа системных вызовов
- exit - список, отвечающий за точки выхода из системных вызовов
- user - список фильтрации пользовательских сообщений
- exclude - список фильтрации сообщений определённого типа.
Далее выбирается действие «Action», которое должно произойти в ответ на возникшее событие:
- always - генерировать запись при выходе из системного вызова
- newer - аудит не будет генерировать никаких записей
В поле «Syscall» указывается имя системного вызова, при обращении к которму должен срабатывать триггер (например, open, close, exit).
Дополнительные можно настроить параметры фильтрации событий. Для этого в первом списке нужно выбрать объект поля сравнения:
Затем задать операцию сравнения. Допустимые операции выбираются в списке:
Далее необходимо ввести значение поля сравнения и нажать кнопку «Add filter».
Фильтров может быть задано несколько:
Для возврата в главное окно необходимо нажать кнопку «Back».