本文主要介绍auditd的配置。
audit daemon的主要配置文件有两个,一个是/etc/sysconfig/auditd, 另一个是/etc/audit/auditd.conf.
/etc/sysconfig/auditd---->配置auditd运行时的环境
- AUDITD_LANG--->auditd运行时的locale
- AUDITD_DISABLE_CONTEXTS---->不监控系统调用
/etc/audit/auditd.conf---->配置auditd运行时的功能,格式val = value
- log_file, log_format, log_group--->log_file标示日志存放路径,log_format标示日志记录格式,log_group 日志的属主。log_format有两种格式一种是raw,记录内核发送的原始格式,一种是nolog,也就是日志不会被写到硬盘。注:如果你想使用aureport生成报告的话,请使用raw格式。
- priority_boost--->设置auditd的优先启动级,默认是4,具有较高的优先级启动,0的话是正常顺序启动。
ps aux的显示来观察auditd的启动优先级
root 3318 0.0 0.0 12516 764 ? S<sl Mar25 0:00 auditd
S<sl S表示进程正在睡眠,<表示具有较高的优先级,s表示多进程l表示多线程
- flush and freq ---->flush的可选值为none(日志不写到磁盘), incremental (日志写到磁盘,freq指定多少记录开始写到磁盘),data(保持部分数据和磁盘的一直同步),sync(每次记录都写到磁盘)。freq和 incremental 可选值一起使用,表示多少条记录一组写到磁盘。
- num_logs ------>指定log的数目,数目要求是正数,如果数目小于2,表示不会rotate日志,大于2,也就是达到指定大小会rotate日志。 max_log_file_action 指定rotate行为。
- dip_qos and dipatcher--->
- name_format and name---->name_format 可以为none(不使用名字),fqd(DNS解析的详细名字),numeric(IP地址),user(使用name选项指定的字符串)
- max_log_file and max_log_file_action ---->max_log_file 指定当文件大小达到设定的M值,执行action,action可选为ignore(不处理),rotate(压缩分文件),syslog(发warning信息),suspend(暂停auditd),keep_logs(rotate log 保留所有log)
- space_left and space_left_action---->space_left指定space M 值触发action。space_left_action 执行的动作(具体参看man auditd.conf)
- action_mail_acct--->设定warning 发送的email地址
- admin_space_left and admin_space_left_action ----->遗留空间 用法同space_left
- disk_full_action------>同 space_left_action,执行盘空间满的行为。
- disk_error_action---->同 space_left_action, 监测磁盘错误发生时作出某些action
- tcp_listen_port, tcp_listen_queue, tcp_client_ports and tcp_client_max_idle--->从其他audit发来的事件参数。
