TomRhodesGeschrieben von RobertWatsonDanielSeuffertÜbersetzt von Security Event AuditingEinleitungAUDITSecurity Event AuditingMACFreeBSD 6.2-RELEASE und folgende Versionen verfügen
über Unterstützung für ein feingranuliertes
Sicherheits-Auditing. Ereignis-Auditing erlaubt die
zuverlässige, feingranulierte und konfigurierbare
Aufzeichnung einer Vielzahl von sicherheitsrelevanten
Systemereignissen einschliesslich Benutzereingaben,
Konfigurationsänderungen sowie Datei- und
Netzwerkzugriffen. Diese Log-Datensätze können
unschätzbar wertvoll sein für direkte
Systemüberwachung, Einbruchserkennung und
Post-Mortem-Analyse. &os; implementiert &sun;s öffentlich
zugängliche BSM API und Dateiformat. Die
&os;-Implementierung kann mit den Audit-Implementierungen von
&sun; &solaris; und &apple; &macos; X zusammenarbeiten.Dieses Kapitel konzentriert sich auf die Installation
und Konfiguration des Ereignis-Auditing. Es erklärt
Audit-Richtlinien und stellt ein Beispiel einer
Audit-Konfiguration vor.Nach dem Lesen dieses Kapitels werden Sie
folgendes wissen:Was Ereignis-Auditing ist und wie es arbeitet.Wie man Ereignis-Auditing in &os; für Nutzer
und Prozesse konfiguriert.Wie man den Audit-Pfad mittels Audit-Reduktion und
Revisionswerkzeugen überprüft.Vor dem Lesen dieses Kapitels sollten Sie:Sowohl &unix; als auch &os;-Basismechanismen
beherrschen ().Mit den grundlegenden Mechanismen der
Kernel-Konfiguration und -Kompilierung vertraut sein ().Einige Vertrautheit mit Sicherheit haben, wie dies zu
&os; gehört ().Die Audit-Funktionalität in &os; 6.2 ist
experimentell. Ihre Anwendung auf produktiven Systemen sollte
nach sorgfältiger Abwägung der Risiken des Einsatzes
experimenteller Software erfolgen. Bekannte
Beschränkungen schliessen ein, dass zur Zeit nicht alle
sicherheitsrelevanten System-Ereignisse auditierbar sind und
dass einige Anmelde-Mechanismen, wie z.B. X11-basierte
Bildschirm-Manager und Daemons von Drittanbietern, das
Auditing für Benutzeranmeldungen nicht korrekt
konfigurieren.Das Sicherheits-Auditing ist in der Lage sehr
detaillierte Log-Dateien von Systemaktivitäten zu
erzeugen. Auf einem ausgelasteten System kann die Pfad-Datei
sehr groß werden, wenn sie für hohe Auflösung
konfiguriert ist, und Gigabyte pro Woche in einigen
Konfigurationen übersteigen. Administratoren sollten den
benötigten Plattenplatz berücksichtigen in
Verbindung mit umfangreichen Audit-Konfigurationen. Zum
Beispiel kann es wünschenswert sein, ein eigenes
Dateisystem für /var/audit
einzusetzen, damit andere Dateisysteme nicht betoffen sind,
wenn das Dateisystem des Audit voll läuft.Schlüsselbegriffe in diesem KapitelVor dem Lesen dieses Kapitels müssen einige
Audit-bezogene Schlüsselbegriffe erläutert
werden:event: Ein auditierbares Ereignis
ist ein solches, das mit dem Audit-Subsystem
aufgezeichnet werden kann. Beispiele für
sicherheitsrelevante Systemereignisse schliessen das Anlegen
von Dateien, die Erstellung einer Netzwerkverbindung oder
eine Benutzeranmeldung ein. Ereignisse sind entweder
attributierbar, können also auf einen
authentifizierten Nutzer zurückverfolgt werden, oder
sind nicht-attributierbar falls nicht.
Beispiele für nicht-attributierbare Ereignisse sind
alle, welche geschehen vor einer Authentifizierung im
Anmeldeprozess, wie z.B. falsche Passworteingaben.class: Ereignisklassen sind
benannte Zusammenstellungen von zusammengehörenden
Ereignissen und werden benutzt in Auswahl-Ausdrücken.
Häufig genutzte Klassen von Ereignissen schliessen
file creation (fc, Anlegen von Dateien),
exec (ex, Ausführung) und
login_logout (lo, Anmeldung-Abmeldung)
ein.record: Ein Datensatz ist ein
Audit-Logeintrag, welcher ein Sicherheitsereignis
enthält. Jeder Datensatz enthält einen
Ereignistyp, Informationen über den Gegenstand
(Nutzer), welcher die Aktion durchführt, Datums- und
Zeitinformationen, Informationen über jedes Objekt oder
Argument sowie den Zustand hinsichtlich Erfolg oder
Scheitern der Operation.trail: Ein Audit-Pfad (audit
trail) oder Log-Datei besteht aus einer Reihe von
Audit-Datensätzen, die Sicherheitsereignisse
beschreiben. Normalerweise sind die Pfade in grober
zeitlicher Reihenfolge bezüglich des Zeitpunktes,
an welchem ein Ereignis beendet wurde. Nur authorisierte
Prozesse dürfen Datensätze zum Audit-Pfad
hinzufügen.selection expression: Ein
Auswahlausdruck ist eine Zeichenkette, welche eine Liste von
Präfixen und Audit-Ereignisklassennamen enthält,
um Ereignisse abzugleichen.preselection: Die Vorauswahl ist
der Prozess, durch den das System erkennt, welche Ereignisse
von Interesse für den Administrator sind, um die
Erzeugung von Datensätze zu verhindern, welche nicht
von Belang sind. Die Konfiguration der Vorauswahl benutzt
eine Reihe von Auswahl-Ausdrücken, um zu erkennen,
welche Klassen von Ereignissen für welche Nutzer
aufgezeichnet werden sollen sowie globale Einstellungen,
welche sowohl auf authorisierte
als auch unauthorisierte Prozesse angewendet werden.reduction: Die Reduzierung ist
der Prozess, durch den Datensätze von bestehenden
Audit-Pfaden ausgewählt werden für Speicherung,
Ausdruck oder Analyse. Ebenso der Prozess, durch den
unerwünschte Datensätze aus dem Audit-Pfad
entfernt werden. Mittels Reduzierung können
Administratoren Richtlinien für die Speicherung von
Audit-Daten vorgeben. Zum Beispiel können
ausführliche Audit-Pfade für einen Monat
gespeichert werden und nach dieser Frist kann der Pfad z.B.
reduziert werden auf die Anmeldeinformationen für
archivarische Zwecke.Installation der Audit-UnterstützungDie Unterstützung des Ereignis-Audit für den
Nutzerbereich wird installiert als Teil der Basis von &os;
seit 6.2-RELEASE. Allerdings muss die Audit-Unterstützung
extra in den Kernel kompiliert werden durch Hinzufügen
folgender Zeile in die Kernel-Konfigurationsdatei:options AUDITBauen und installieren Sie den Kernel wieder über den
üblichen Prozess, welcher in
beschrieben ist.Sobald der Kernel gebaut und installiert ist und das
System neu gestartet wurde, aktivieren Sie den Audit-Daemon
durch Hinzufügung folgender Zeile zu
&man.rc.conf.5;:auditd_enable="YES"Die Audit-Unterstützung muss nun ausgeführt werden
durch einen Neustart oder das manuelle Starten des
Audit-Daemon:/etc/rc.d/auditd startDie Konfiguration des AuditAlle Konfigurationsdateien für das Sicherheits-Audit
finden sich in
/etc/security.
Die folgenden Dateien müssen vorhanden sein, bevor
der Audit-Daemon gestartet wird:audit_class – Enthält
die Definitionen der Audit-Klassen.audit_control – Steuert
Teile des Audit-Subsystems wie Audit-Klassen, minimaler
Plattenplatz auf dem Audit-Log-Datenträger, maximale
Größe des Audit-Pfades usw.audit_event – Wörtliche
Namen und Beschreibungen von System-Audit-Ereignissen sowie
eine Liste, welche Klassen welches Ereignis
aufzeichnen.audit_user – Nutzerspezifische
Audit-Erfordernisse, welche mit den globalen Vorgaben bei
der Anmeldung kombiniert werden.audit_warn – Ein
anpassbares Shell-Skript, welches von
auditd benutzt wird, um
Warnhinweise in aussergewöhnlichen Situationen zu
erzeugen, z.B. wenn der Platz für die
Audit-Datensätze knapp wird oder wenn die Datei des
Audit-Pfades rotiert wurde.Audit-Konfigurationsdateien sollten vorsichtig gewartet und
bearbeitet werden, da Fehler in der Konfiguration zu falscher
Aufzeichnung von Ereignissen führen könnten.Ereignis-AuswahlausdrückeAuswahlausdrücke werden an einigen Stellen
benützt in der Audit-Konfiguration, um zu bestimmen,
welche Ereignisse auditiert werden sollen. Die Ausdrücke
enthalten eine Liste der Ereignisklassen, welche verglichen
werden sollen, jede mit einem Präfix, welches anzeigt,
ob verglichene Datensätze akzeptiert oder ignoriert
werden sollen und optional, um Anzuzeigen, ob der Eintrag
beabsichtigt erfolgreiche oder fehlgeschlagene Operationen
zu vergleichen. Auswahlausdrücke werden von links nach
rechts ausgewertet und zwei Ausdrücke werden durch
Aneinanderhängen miteinander kombiniert.Die folgende Liste enthält die
Standard-Ereignisklassen für das Audit und ist in
audit_class festgehalten:all – all – Vergleiche
alle Ereignisklassen.ad – administrative – Administrative
Aktionen ausgeführt auf dem System als Ganzes.ap – application – Aktionen
definiert für Applikationen.cl – file
close – Audit-Aufrufe für
den Systemaufruf close.ex – exec – Ausführung
des Audit-Programms. Auditierung von
Befehlszeilen-Argumenten und Umgebungsvariablen wird
gesteuert durch &man.audit.control.5; mittels der
argv und
envv-Parametergemäss der
Richtlinien-Einstellungen.fa – file
attribute access – Auditierung
des Zugriffs auf Objektattribute wie &man.stat.1;,
&man.pathconf.2; und ähnlichen Ereignissen.fc – file
create – Audit-Ereignisse,
bei denen eine Datei als Ergebnis angelegt wird.fd – file
delete – Audit-Ereignisse,
bei denen Dateilöschungen vorkommen.fm – file
attribute modify – Audit-Ereignisse,
bei welchen Dateiattribute geändert werden, wie
&man.chown.8;, &man.chflags.1;, &man.flock.2; etc.fr – file
read – Audit-Ereignisse, bei
denen Daten gelesen oder Dateien zum lesen geöffnet
werden usw.fw – file write – Audit-Ereignisse,
bei welchen Daten geschrieben oder Dateien geschrieben
oder verändert werden usw.io – ioctl – Nutzung
des Systemaufrufes &man.ioctl.2; durch Audit.ip – ipc – Auditierung
verschiedener Formen von Inter-Prozess-Kommunikation
einschliesslich POSIX-Pipes und System V
IPC-Operationen.lo – login_logout – Audit-Ereignisse
betreffend &man.login.1; und &man.logout.1;, welche auf
dem System auftreten.na – non
attributable – Auditierung
nicht-attributierbarer Ereignisse (Ereignisse, die nicht auf
einen bestimmten Nutzer zurückgeführt werden
können).no – invalid
class – Kein Abgleich von
Audit-Ereignissen.nt – network – Audit-Ereignisse
in Zusammenhang mit Netzwerkaktivitäten wie
z.B. &man.connect.2; und &man.accept.2;.ot – other – Auditierung
verschiedener Ereignisse.pc – process – Auditierung
von Prozess-Operationen wie &man.exec.3; und
&man.exit.3;.Diese Ereignisklassen können angepasst werden durch
Modifizierung der Konfigurationsdateien
audit_class und
audit_event.Jede Audit-Klasse in dieser Liste ist kombiniert mit
einem Präfix, welches anzeigt, ob
erfolgreiche/gescheiterte Operationen abgebildet werden, und
ob der Eintrag den Abgleich hinzufügt oder entfernt
für die Klasse und den Typ.(none) Kein Präfix, sowohl erfolgreiche als
auch gescheiterte Vorkommen eines Ereignisses werden
auditiert.+ Auditiere nur erfolgreiche
Ereignisse in dieser Klasse.- Auditiere nur gescheiterte
Operationen in dieser Klasse.^ Auditiere weder erfolgreiche
noch gescheiterte Ereignisse in dieser Klasse.^+ Auditiere keine erfolgreichen
Ereignisse in dieser Klasse.^- Auditiere keine gescheiterten
Ereignisse in dieser Klasse.Das folgende Beispiel einer Auswahl-Zeichenkette
wählt erfolgreiche und gescheiterte
Anmelde/Abmelde-Ereignisse aus, aber nur erfolgreich beendete
Ausführungs-Ereignisse:lo,+exKonfigurationsdateienIn den meisten Fällen müssen Administratoren
nur zwei Dateien ändern, wenn sie das Audit-System
konfigurieren: audit_control und
audit_user. Die erste Datei steuert
systemweite Audit-Eigenschaften und -Richtlinien; die zweite
Datei kann für die Feinanpassung der Auditierung von
Nutzern verwandt werden.Die audit_control-DateiDie audit_control-Datei legt eine
Anzahl Vorgabewerte fest. Beim Betrachten des Inhaltes der
Datei sehen wir folgendes:dir:/var/audit
flags:lo
minfree:20
naflags:lo
policy:cnt
filesz:0Die Option wird genutzt, um eines
oder mehrere Verzeichnisse festzulegen, in welchen
Audit-Protokolle gespeichert werden. Falls mehr als ein
Verzeichniseintrag erscheint, dann werden sie in der
angegebenen Reihenfolge genutzt, bis sie jeweils
gefüllt sind. Es ist üblich Audit so zu
konfigurieren, dass die Audit-Logs auf einem dedizierten
Dateisystem abgelegt werden, um Wechselwirkungen zwischen
dem Audit-Subsystem und anderen Subsystemen zu verhindern,
falls das Dateisystem voll läuft.Das -Feld legt die systemweite
Standard Vorauswahl-Maske für attributierbare (direkt
einem Nutzer zuordnungsfähige) Ereignisse fest. Im
obigen Beispiel werden alle gescheiterten und erfolgreichen
Anmelde- und Abmelde-Ereignisse für alle Nutzer
aufgezeichnet.Die Option definiert den
minimalen Prozentsatz an freiem Plattenplatz für das
Dateisystem, in welchem der Audit-Pfad abgespeichert wird.
Wenn diese Schwelle überschritten ist, wird ein
Warnhinweis erzeugt. Das obige Beispiel legt den minimalen,
freien Platz auf zwanzig Prozent fest.Die -Option bestimmt diejenigen
Audit-Klassen, für die nicht-attributierbare Ereignisse
aufgezeichnet werden sollen, wie der Anmelde-Prozess und
System-Daemons.Die Option legt eine durch Kommata
getrennte Liste von policy-Flags fest, welche verschiedene
Aspekte des Audit-Verhaltens steuern. Der vorgegebene Flag
cnt zeigt an, dass das System trotz eines
Audit-Fehlers weiterlaufen soll (dieses Flag wird dringend
angeraten). Ein anderes, häufig genutztes Flag ist
argv, welches dazu führt, dass
Befehlszeilen-Argumente für den Systemauruf
&man.execve.2; als Teil der Befehlsausführung
aufgezeichnet werden.Die -Option spezifiziert die
maximale Größe in Bytes, welche eine
Audit-Pfad-Datei wachsen darf, bevor sie automatisch beendet
und rotiert wird. Die Standardvorgabe, 0, setzt die
automatische Log-Rotation ausser Kraft. Falls die
angeforderte Dateigröße größer Null
und gleichzeitig unterhalb des Minimums von 512K ist, dann
wird die Angabe verworfen und ein Log-Hinweis wird
erzeugt.Die Datei audit_userDie audit_user-Datei erlaubt es dem
Administrator weitere Audit-Erfordernisse für bestimmte
Nutzer festzulegen. Jede Zeile konfiguriert das Auditing
für einen Nutzer über zwei Felder: Das erste Feld
ist alwaysaudit, welches eine Ansammlung
von Ereignissen vorgibt, welche immer für diesen Nutzer
aufgezeichnet werden. Das zweite Feld
neveraudit legt eine Menge an Ereignissen
fest, die niemals für diesen Nutzer auditiert werden
sollen.Das folgende Beispiel einer
audit_user-Datei zeichnet
Anmelde/Abmelde-Ereignisse, erfolgreiche
Befehlsausführungen für den Nutzer
root, Anlegen von Dateien und
erfolgreiche Befehlsausführungen für den Nutzer
www auf. Falls das Beispiel zusammen
mit der vorstehend als Beispiel gezeigten Datei
audit_control benutzt wird, dann ist
der Eintrag lo für Nutzer
root überflüssig und
Anmelde/Abmelde-Ereignisse werden für den Nutzer
www ebenfalls aufgezeichnet.root:lo,+ex:no
www:fc,+ex:noAdministration des Audit-SubsystemsViewing Audit TrailsAudit-Pfade werden gespeichert im binären
BSM-Format, daher müssen Werkzeuge verwandt werden, um
die Daten zu ändern oder in Text zu konvertieren. Der
Befehl &man.praudit.1; wandelt alle Pfad-Dateien in ein
einfaches Textformat um. Der Befehl &man.auditreduce.1; kann
genutzt werden, um die Pfad-Dateien für Analyse,
Ausdruck, Archvierung oder andere Zwecke zu reduzieren.
auditreduce unterstützt eine Reihe von
Auswahl-Parametern einschliesslich Ereignistyp,
Ereignisklasse, Nutzer, Datum oder Uhrzeit des Ereignisses und
den Dateipfad oder das Objekt, mit dem gearbeitet
wurde.Das Dienstprogramm praudit schreibt
zum Beispiel den gesamten Inhalt einer angegebenen
Audit-Protokolldatei in eine simple Textdatei:&prompt.root; praudit /var/audit/AUDITFILEAUDITFILE
ist hier die zu schreibende Protokolldatei.Audit-Pfade bestehen aus einer Reihe von
Datensätzen bestehend aus Kürzeln (token), die von
praudit fortlaufend zeilenweise ausgegeben
werden. Jedes Kürzel ist von einem bestimmten Typ, z.B.
enthält header einen
audit-Datensatz-Header oder path
enthält einen Dateipfad von einer Suche. Hier ein
Beispiel eines execve-Ereigniesses:header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec
exec arg,finger,doug
path,/usr/bin/finger
attribute,555,root,wheel,90,24918,104944
subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100
return,success,0
trailer,133Dieser Audit stellt einen erfolgreichen
execve-Aufruf dar, in welchem der Befehl
finger doug ausgeführt wurde. Das
Kürzel des Argumentes enthält die Befehlszeile,
welche die Shell an den Kernel weiterleitet. Das Kürzel
path enthält den Pfad zur
ausführbaren Datei wie vom Kernel wahrgenommen. Das
Kürzel attribute beschreibt die
Binärdatei und besonderes den Datei-Modus, der genutzt
werden kann, um zu bestimmen, ob setuid auf die Applikation
angewendet wurde. Das Kürzel subject
beschreibt den untergeordneten Prozess und speichert daher in
Aufeinanderfolge Audit-Nutzer ID, effektive Nutzer-ID und
Gruppen-ID, wirkliche Nutzer-ID und Grppen-ID, Process-ID,
Session- ID, Port-ID und Anmelde-Adresse. Beachten Sie, dass
Audit-Nutzer-ID und wirkliche Nutzer-ID abweichen: Der Nutzer
robert hat gewechselt zum Nutzer
root, bevor er diesen Befehl
ausführte, aber er wird auditiert mit dem
ursprünglich authentifizierten Nutzer. Schliesslich zeigt
das Kürzel return die erfolgreiche
Ausführung an und trailer schliesst
den Datensatz ab.Audit-Pfade reduzierenDa Audit-Protokolldateien sehr groß sein können,
wird ein Administrator höchstwahrscheinlich eine Auswahl
an Datensätzen verwenden, wie z.B. alle Datensätze
zugehörig zu einem bestimmten Nutzer:&prompt.root; auditreduce -u trhodes /var/audit/AUDITFILE | prauditDies wird alle Audit-Datensätze auswählen
für den Nutzer trhodes, die in der
Datei
AUDITFILE
gespeichert sind.Delegation von Rechten für Audit-ReviewsMitglieder der Gruppe audit haben
die Erlaubnis Audit-Pfade in /var/audit
zu lesen; standardmässig ist diese Gruppe leer, daher
kann nur der Nutzer root die Audit-Pfade
lesen. Nutzer können der Gruppe
audit hinzugefügt werden, um
Rechte für Audit-Reviews zu gewähren. Da die
Fähigkeit Inhalte von Audit-Protokolldateien zu verfolgen
tiefgreifende Einblicke in das Verhalten von Nutzern und
Prozessen erlaubt, wird empfohlen, dass die Gewährung von
Rechten für Audit-Reviews mit Bedacht erfolgt.Aktive Überwachung mittles Audit-PipesAudit-Pipes sind nachgebildete (geklonte)
Pseudo-Geräte im Dateisystem des Gerätes, welche
Applikationen erlauben die laufenden Audit-Datensätze
anzuzapfen. Dies ist vorrangig für Autoren von Intrusion
Detection Software und Systemüberwachungsprogrammen von
Bedeutung. Allerdings ist für den Administrator das
Audit-Pipe-Gerät ein angenehmer weg aktive
Überwachung zu gestatten ohne Gefahr von Problemen durch
Besitzerrechte der Audit-Pfad-Datei oder Unterbrechung des
Stroms von Ereignissen durch Log-Rotation. Um den laufenden
Audit-Ereignisstrom zu verfolgen geben Sie bitte folgende
Befehlszeile ein:&prompt.root; praudit /dev/auditpipeStandardmässig kann nur der Nutzer
root auf die
Audit-Pipe-Geräte-Knotenpunkte zugreifen. Um sie allen
Mitgliedern der Gruppe audit
zugänglich zu machen fügen Sie eine
devfs-Regel in
devfs.rules hinzu:add path 'auditpipe*' mode 0440 group auditLesen Sie &man.devfs.rules.5; für weitere
Informationen, wie das devfs-Dateisystem konfiguriert
wird.Es ist sehr leicht Rückmeldungszyklen von
Audit-Ereignissen hervorzurufen, in welcher das Betrachten
des Resultates eines Audit-Ereignisses in die Erzeugung von
mehr Audit-Ereignissen mündet. Wenn zum Beispiel der
gesamte Netzwerk-I/O auditiert wird, während
&man.praudit.1; in einer SSH-Sitzung gestartet wurde, dann
wird ein kontinuierlicher, mächtiger Strom von
Audit-Ereignissen erzeugt, da jedes ausgegebene Ereignis
wiederum neue Ereignisse erzeugt. Es ist anzuraten
praudit an einem Audit-Pipe-Gerät
nur von Sitzungen anzuwenden ohne feingranuliertes
I/O-Auditing, um dies zu vermeiden.Rotation von Audit-Pfad-DateienAudit-Pfade werden nur vom Kernel geschrieben und nur
vom Audit-Daemon auditd verwaltet.
Administratoren sollten nicht versuchen &man.newsyslog.conf.5;
oder andere Werkzeuge zu benutzen, um Audit-Protokolldateien
direkt zu rotieren. Stattdessen sollte das
audit Management-werkzeug benutzt werden,
um die Auditierung zu beenden, das Audit-System neu zu
konfigurieren und eine Log-Rotation durchzuführen. Der
folgende Befehl veranlasst den Audit-Daemon eine neue
Protokolldatei anzulegen und dem Kernel zu signalisieren die
neue Datei zu nutzen. Die alte Datei wird beendet und
umbenannt. Ab diesem Zeitpunkt kann sie vom Administrator
bearbeitet werden.&prompt.root; audit -nFalls der auditd-Daemon
gegenwärtig nicht läuft wird dieser Befehl scheitern
und eine Fehlermeldung wird ausgegeben.Das Hinzufügen der folgenden Zeile in
/etc/crontab wird die Log-Rotation alle
zwölf Stunden durch &man.cron.8; erzwingen:0 */12 * * * root /usr/sbin/audit -nDie Änderung wird wirksam, sobald Sie die neue
/etc/crontab gespeichert haben.Automatische Rotation der Audit-Pfad-Datei in
Abhängigkeit von der Dateigröße ist möglich
mit der Option in &man.audit.control.5;
und ist im Abschnitt Konfigurationsdateien
dieses Kapitels beschrieben.Komprimierung von Audit-PfadenDa Audit-Pfad-Dateien sehr groß werden können
ist es oft wünschenswert Pfade zu komprimieren oder
anderweitig zu archivieren, sobald sie vom Audit-Daemon
geschlossen wurden. Das Skript
audit_warn kann genutzt werden, um
angepasste Aktionen für eine Vielzahl von audit-bezogenen
Ereignissen auszuführen, einschliesslich der sauberen
Beendigung von Audit-Pfaden, wenn diese geschlossen werden.
Zum Beispiel kann man das Folgende zum
audit_warn-Skript hinzufügen, um
Audit-Pfade beim Beenden zu komprimieren:#
# Compress audit trail files on close.
#
if [ "$1" = closefile ]; then
gzip -9 $2
fiAndere Archvierungsaktivitäten könnten das
Kopieren zu einem zentralen Server, Löschung der alten
Pfad-Dateien oder Reduzierung des alten Audit-Pfades durch
Entfernung nicht benötigter Datensätze
einschliessen. Das Skript wird nur dann ausgeführt, wenn
die Audit-Pfad-Dateien sauber beendet wurden, daher wird es
nicht auf Pfaden laufen, welche unbeendet sind durch ein
unsauberes Herunterfahren des Systems.