Chinaunix首页 | 论坛 | 博客
  • 博客访问: 491866
  • 博文数量: 28
  • 博客积分: 858
  • 博客等级: 一等列兵
  • 技术积分: 852
  • 用 户 组: 普通用户
  • 注册时间: 2011-06-02 14:13
文章分类

全部博文(28)

文章存档

2020年(1)

2019年(1)

2018年(5)

2017年(1)

2014年(1)

2013年(2)

2012年(17)

分类: LINUX

2012-04-09 16:30:11

    本文主要介绍auditd的配置。
    audit daemon的主要配置文件有两个,一个是/etc/sysconfig/auditd, 另一个是/etc/audit/auditd.conf.
/etc/sysconfig/auditd---->配置auditd运行时的环境
  • AUDITD_LANG--->auditd运行时的locale
  • AUDITD_DISABLE_CONTEXTS---->不监控系统调用
/etc/audit/auditd.conf---->配置auditd运行时的功能,格式val = value
  • log_file, log_format, log_group--->log_file标示日志存放路径,log_format标示日志记录格式,log_group 日志的属主。log_format有两种格式一种是raw,记录内核发送的原始格式,一种是nolog,也就是日志不会被写到硬盘。注:如果你想使用aureport生成报告的话,请使用raw格式。
  • priority_boost--->设置auditd的优先启动级,默认是4,具有较高的优先级启动,0的话是正常顺序启动。
      ps aux的显示来观察auditd的启动优先级
root 3318 0.0 0.0 12516 764 ? S
S
  • flush and freq ---->flush的可选值为none(日志不写到磁盘), incremental (日志写到磁盘,freq指定多少记录开始写到磁盘),data(保持部分数据和磁盘的一直同步),sync(每次记录都写到磁盘)。freq和 incremental 可选值一起使用,表示多少条记录一组写到磁盘。
  • num_logs ------>指定log的数目,数目要求是正数,如果数目小于2,表示不会rotate日志,大于2,也就是达到指定大小会rotate日志。 max_log_file_action 指定rotate行为。
  • dip_qos and dipatcher---> 
  • name_format and name---->name_format 可以为none(不使用名字),fqd(DNS解析的详细名字),numeric(IP地址),user(使用name选项指定的字符串)
  • max_log_file and   max_log_file_action ---->max_log_file 指定当文件大小达到设定的M值,执行action,action可选为ignore(不处理),rotate(压缩分文件),syslog(发warning信息),suspend(暂停auditd),keep_logs(rotate log 保留所有log)
  • space_left and space_left_action---->space_left指定space M 值触发action。space_left_action 执行的动作(具体参看man auditd.conf)
  • action_mail_acct--->设定warning 发送的email地址
  • admin_space_left and admin_space_left_action ----->遗留空间 用法同space_left
  • disk_full_action------>同 space_left_action,执行盘空间满的行为。
  • disk_error_action---->同 space_left_action, 监测磁盘错误发生时作出某些action
  • tcp_listen_porttcp_listen_queuetcp_client_ports and tcp_client_max_idle--->从其他audit发来的事件参数。
阅读(10747) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~