events file
Zweck
Enthält Informationen zu Systemprüfereignissen.
Beschreibung
Die Datei /etc/security/audit/events ist eine ASCII-Zeilengruppendatei, die Informationen zu Prüfereignissen enthält. Die Datei enthält nur eine Zeilengruppe, Auditpr, in der alle Prüfereignisse im System aufgelistet werden. Die Zeilengruppe enthält außerdem Formatierungsangaben, die der Befehl Auditpr benötigt, um einen Prüfnachsatz für jedes Ereignis zu schreiben.
Jedes Attribut in der Zeilengruppe ist der Name eines Prüfereignisses mit dem folgenden Format:
AuditEvent = FormatCommand
Die Rootbenutzer können die Ereignisdatei mit dem Editor VI bearbeiten. Die Kommentare in einer Ereignisdatei beginnen mit einem Stern (*).
Der Formatierungsbefehl kann die folgenden Parameter haben:
| Parameter | Beschreibung |
|---|---|
| (leer) | Das Ereignis hat keinen Nachsatz. |
| printf -Format | Der Nachsatz wird entsprechend der Zeichenfolge formatiert, die für den Parameter Format angegeben wurde. Die %x -Symbole in der Zeichenfolge geben Stellen an, an denen das Prüfprotokoll Daten bereitstellen soll. |
| Programm -i n Arg... | Das Ende wird von dem durch den Parameter Programm angegebenen Programm formatiert. Der Parameter -i N wird als erster Parameter an das Programm übergeben und gibt an, dass die Ausgabe um N Leerzeichen eingerückt werden soll. Weitere Formatierungsangaben können mit dem Parameter Argument angegeben werden. Der Prüfereignisname wird als letzter Parameter übergeben. Der Nachsatz wird in die Standardeingabe des Programms geschrieben. |
Formatierungsinformationen für Prüfereignisse
| Format | Beschreibung |
|---|---|
| %A | Die formatierte Ausgabe ähnelt dem Befehl Aclget . |
| %c | Formatieren Sie ein einzelnes Byte als Zeichen. |
| %D | Formatiert als Haupt-und Nebengerätenummer. |
| %d | Formatiert als 32-Bit-Dezimalzahl mit Vorzeichen |
| %G | Formatiert als durch Kommas getrennte Liste von Gruppennamen oder numerischen IDs. |
| %L | Als Textzeichenfolge formatiert, die die Identität beschreibt, die einem Internet-Socket und dem Socket selbst zugeordnet ist. |
| %ld | Formatiert als 64-Bit-Dezimalzahl mit Vorzeichen |
| %lo | Formatiert als 64-Bit-Oktalwert. |
| %lx | %lx als 64-Bit-Hexadezimalwert formatiert. |
| %lX | Formatiert als 64-Bit-Hexadezimalwert mit Großbuchstaben. |
| %o | Formatiert als 32-Bit-Oktalzahl. |
| %P | Die formatierte Ausgabe ähnelt dem Befehl Pclget . |
| %S | Formatiert als Textzeichenfolge, die einen Internet-Socket beschreibt. |
| %s | Als Textzeichenfolge formatiert. |
| %T | Als Textzeichenfolge formatiert, die Datum und Uhrzeit mit 6 signifikanten Ziffern für die Sekunden enthält.DD Mmm YYYY HH:MM:SS:mmmuuu). |
| %u | Formatiert als 32-Bit-Ganzzahl ohne Vorzeichen. |
| %x | Formatiert als hexadezimale 32-Bit-Ganzzahl. |
| %X | Formatiert als hexadezimale 32-Bit-Ganzzahl mit Großbuchstaben. |
| %% | Ein einzelner '%' c-Haracter. |
Sicherheit
Zugriffssteuerung: Diese Datei sollte dem Rootbenutzer und den Mitgliedern der Prüfgruppe Lesezugriff (r) und dem Rootbenutzer Schreibzugriff (w) erteilen.
Beispiele
Gehen Sie wie folgt vor, um den Nachsatz eines Prüfsatzes für neue Prüfereignisse zu formatieren:FILE_OpenundPROC_CreateFügen Sie Formatspezifikationen wie die folgenden zur Zeilengruppe auditpr in der Datei /etc/security/audit/events hinzu:
auditpr:
FILE_Open = printf "flags: %d mode: %o \
fd: %d filename: %s"
PROC_Create = printf "forked child process %d"
Dateien
| Element | Beschreibung |
|---|---|
| /etc/security/audit/events | Gibt den Pfad zu der Datei an. |
| /etc/security/audit/config | Enthält Konfigurationsinformationen für das Prüfsystem. |
| /etc/security/audit/objects | Enthält Informationen zu geprüften Objekten. |
| /etc/security/audit/bincmds | Enthält Back-End-Befehle für die Prüfdatenablagedatei. |
| /etc/security/audit/streamcmds | Enthält Befehle für Prüfdatenströme. |