免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1918 | 回复: 0
打印 上一主题 下一主题

[新手入门] audit [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2008-07-25 10:48 |只看该作者 |倒序浏览
要监控cron事件,必须先要修改/etc/security/audit目录下的两个文件。它们是:
* /etc/security/audit/config: 该ASCII文件包含了audit系统配置信息。文件中含有五个部分:start, bin, stream, classes, 和users。
* /etc/security/audit/events: 该ASCII文件包含了有关audit事件的信息。文件中只含有一个部分:auditpr,它列出了系统中的所有audit事件以及用auditpr命令为每个事件输出监测结果的格式化信息。
下面是具体的配置步骤:
1. 在/etc/security/audit/config文件中的start部分,将streammode设置为ON,将binmode设置为OFF。显示如下:
start:
------binmode= off
------streammode= on
缺省的bin和stream部分的设置如下:
bin:  
----trail = /audit/trail  
----bin1 = /audit/bin1  
----bin2 = /audit/bin2  
----binsize = 10240  
--- cmds = /etc/security/audit/bincmds  
stream:  
------cmds = /etc/security/audit/streamcmds
2. 将可监控的cron事件按照相似性归为一些audit类,然后在/etc/security/audit/config文件中的classes部分中定义这些类。CRON_Start和CRON_Finish事件是用于监控cron工作开始和结束的事件。下面列示了cron类的定义,该类中包含了audit可跟踪监控的cron事件:
cron = AT_JobAdd,AT_JobRemove,CRON_JobAdd,CRON_JobRemove,CRON_Start,CRON_Finish  
3. 要将定义好的audit类对应于某一个用户,则在/etc/security/audit/config文件中的users部分中增加一行,格式如下:
= ,   
例如,若要允许跟踪root用户cron工作中的cron事件,输入:
root = cron
4. 从/etc/security/audit/events文件的列表中,选择或增加需要audit的系统事件。下面是对应于CRON_Start和CRON_Finish事件的例子:
CRON_Start = printf "event = %s cmd = %s time = %s"  
CRON_Finish = printf "user = %s pid = %s time = %s"
5. audit输出的报告的文件名在/etc/security/audit/streamcmds文件中指定,streamcmds文件的缺省设置如下:
/etc/auditstream | auditpr -v > /audit/stream.out &  
6. 修改完config和events文件后,audit必须被重启以使所做的修改生效。若要重启audit,输入下述命令:
# audit shutdown  
# audit start  


本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u2/74291/showart_1091542.html
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP