audit

lovegong225

要监控cron事件，必须先要修改/etc/security/audit目录下的两个文件。它们是：
* /etc/security/audit/config: 该ASCII文件包含了audit系统配置信息。文件中含有五个部分：start, bin, stream, classes, 和users。
* /etc/security/audit/events: 该ASCII文件包含了有关audit事件的信息。文件中只含有一个部分：auditpr，它列出了系统中的所有audit事件以及用auditpr命令为每个事件输出监测结果的格式化信息。
下面是具体的配置步骤：
1. 在/etc/security/audit/config文件中的start部分，将streammode设置为ON，将binmode设置为OFF。显示如下：
start:
------binmode= off
------streammode= on
缺省的bin和stream部分的设置如下：
bin:  
----trail = /audit/trail  
----bin1 = /audit/bin1  
----bin2 = /audit/bin2  
----binsize = 10240  
--- cmds = /etc/security/audit/bincmds  
stream:  
------cmds = /etc/security/audit/streamcmds
2. 将可监控的cron事件按照相似性归为一些audit类，然后在/etc/security/audit/config文件中的classes部分中定义这些类。CRON_Start和CRON_Finish事件是用于监控cron工作开始和结束的事件。下面列示了cron类的定义，该类中包含了audit可跟踪监控的cron事件：
cron = AT_JobAdd,AT_JobRemove,CRON_JobAdd,CRON_JobRemove,CRON_Start,CRON_Finish  
3. 要将定义好的audit类对应于某一个用户，则在/etc/security/audit/config文件中的users部分中增加一行，格式如下：
= ,   
例如，若要允许跟踪root用户cron工作中的cron事件，输入：
root = cron
4. 从/etc/security/audit/events文件的列表中，选择或增加需要audit的系统事件。下面是对应于CRON_Start和CRON_Finish事件的例子：
CRON_Start = printf "event = %s cmd = %s time = %s"  
CRON_Finish = printf "user = %s pid = %s time = %s"
5. audit输出的报告的文件名在/etc/security/audit/streamcmds文件中指定，streamcmds文件的缺省设置如下：
/etc/auditstream | auditpr -v > /audit/stream.out &  
6. 修改完config和events文件后，audit必须被重启以使所做的修改生效。若要重启audit，输入下述命令：
# audit shutdown  
# audit start  


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/74291/showart_1091542.html