comando auditselect

Finalidad

Selecciona registros de auditoría para el análisis según criterios definidos.

Sintaxis

auditselect { -e "Expresión" | -f Archivo} [ -m ] [ Trail ]

Descripción

El mandato auditselect forma parte del subsistema de auditoría. El daemon auditbin llama al mandato si está configurado en el archivo /etc/security/audit/bincmds como un mandato de programa de fondo para procesar archivos bin.

El mandato auditselect selecciona registros de auditoría que coinciden con los criterios identificados y graba los registros en la salida estándar. Con el mandato auditselect , puede filtrar el seguimiento de auditoría para obtener registros específicos para el análisis o seleccionar registros específicos para el almacenamiento a largo plazo. El mandato toma la corriente o la entrada de bandeja del archivo especificado por el parámetro Trail o desde la entrada estándar. Si especifica la serie $bin como valor del parámetro Trail , el daemon auditbin sustituye el nombre de vía de acceso del archivo bin actual cuando llama al mandato auditselect . Los criterios de selección se pueden especificar como una expresión o desde el archivo especificado por el distintivo -f . Si los archivos bin están comprimidos, el mandato auditselect los desempaqueta antes del proceso.

Para los datos de secuencia, configure el mandato auditstream y el mandato auditselect en el archivo /etc/security/audit/streamcmds , o especifique ambos mandatos desde la línea de mandatos.

La variable de entorno AIX_AUDITBUFSZ permite la operación de grabación en almacenamiento intermedio de los registros de auditoría de auditselect . La opción de escritura en almacenamiento intermedio es útil para aplicaciones de alto rendimiento que generan muchos registros de auditoría.

La variable de entorno AIX_AUDITBUSZ acepta valores decimales y hexadecimales en el rango de 8192 bytes-67 MB. Cualquier otro valor positivo fuera del rango de valores permitidos se redondeará al principio del rango o al final del rango en función del valor más próximo. Si este valor de variable no está establecido o a esta variable se le asignan valores negativos o valores no numéricos, se ignora la variable AIX_AUDITBUSZ .

Distintivos

Elemento	Descripción
-e "Expresión"	Define los criterios de selección. El parámetro Expresión consta de uno o más términos unidos por operadores lógicos.
-f Archivo	Especifica el Archivo que contiene los criterios de selección.
-m	Especifica el registro de auditoría de salida con extensiones de registro.

Creación de expresiones

Una expresión válida consta de uno o más términos unidos por operadores lógicos.

Operadores lógicos

Los operadores lógicos permiten que se utilice más de un término en una expresión. Las reglas de prioridad normal se aplican al evaluar expresiones con más de un operador lógico y se pueden utilizar paréntesis para forzar el orden de evaluación. Los operadores lógicos válidos son los siguientes:

Elemento	Descripción
&&	(Y) La expresión`term1 && term2`es true (seleccionado) si tanto term1 como term2 son true.
\|\|	(O) La expresión`term1 \|\| term2`es true (seleccionado) si term1 o term2 es true.
!	(No) La expresión`!term1`es true (seleccionado) si term1 no es true.

Términos

Cada término de la expresión tiene el siguiente formato:

Field Relational_Operator Value

Campos

Los campos corresponden a la información de la cabecera de auditoría de cada registro. Los valores válidos para los campos incluyen los siguientes:

Elemento	Descripción
`event`	Nombre del suceso de auditoría, por ejemplo,`FILE_Open`.
`command`	Nombre del mandato que ha generado el suceso de auditoría.
`result`	Estado del suceso de auditoría. El valor de la`result`El campo debe ser uno de los siguientes: Aceptar ERROR FAIL_PRIV FAIL_AUTH FAIL_ACCESS FAIL_DAC Indica que el suceso ha fallado debido a una denegación de control de acceso discrecional (DAC). Las listas de control de acceso son una forma de repositorio de información que contiene datos relativos a los derechos de acceso (permiso) a los recursos/objetos compartidos. Las ACL se clasifican en el mecanismo DAC. FAIL coincide con todos los demás códigos de error.
`login`	ID del usuario de inicio de sesión del proceso que ha generado el suceso de auditoría.
`real`	ID del usuario real del proceso que ha generado el suceso de auditoría.
`pid`	ID del proceso que ha generado el suceso de auditoría.
`ppid`	ID del padre del proceso que ha generado el suceso de auditoría.
`tid`	ID de la hebra de kernel que ha generado el suceso.
`time`	Hora del día en que se ha generado el suceso de auditoría.
`date`	Fecha en que se ha generado el suceso de auditoría.
`host`	Nombre de host de la máquina que ha generado el registro. El nombre reservado UNKNOWN se puede utilizar para coincidir con cualquier máquina que no esté listada en el archivo /etc/security/audit/hosts .

operadores relacionales

Los operadores relacionales se utilizan para comparar el campo del registro de auditoría con el valor especificado. Los operadores relacionales válidos incluyen:

Elemento	Descripción
==	Igual a
!=	No igual a
<	Menor que
>	Mayor que
>=	Mayor o igual que
<=	Menor o igual que

Términos válidos

Un término válido consta de un campo, un operador relacional y un valor. Además, no todos los operadores y valores relacionales son válidos para cada campo. Las siguientes son las combinaciones válidas:

Campo	Operadores válidos	Valores válidos
`event`	`= =, ! =`	`Text string audit event name`
`result`	`= =, ! =`	`Text string audit status codes`
`command`	`= =, ! =`	`Text string command name`
`pid`	`all`	`Decimal integer process ID`
`ppid`	`all`	`Decimal integer process ID`
`login`	`all`	`Decimal integer user ID`
`login`	`= =, ! =`	`Text string user name`
`real`	`all`	`Decimal integer user ID`
`real`	`= =, ! =`	`Text string user name`
`tid`	`all`	`Decimal integer thread ID`
`time`	`all`	`String in the format specified by the current locale`
`date`	`all`	`String in the format specified by the current locale`
`host`	`= =, ! =`	`Text string host name or 16 character cpu ID`
`priv`	`= =, ! =`	`Privilege name`
`sl`	`= =, ! =`	`Sensitivity label name`
`tl`	`= =, ! =`	`Integrity label name`
`role`	`= =, ! =`	`Role name`

Seguridad

Control de accesos

Este mandato debe otorgar acceso de ejecución (x) al usuario root y a los miembros del grupo de auditoría. El mandato debe ser setuid para el usuario root y tener el atributo base de cálculo fiable .

Entorno RBAC y

Este mandato implementa y puede realizar operaciones con privilegios. Sólo los usuarios privilegiados pueden ejecutar operaciones con privilegios. Para revisar la lista de privilegios y las autorizaciones asociadas con este mandato, consulte la base de datos /etc/security/privcmds .

Ejemplos

Configuración

Para seleccionar registros de datos recopilados por bin que coincidan con los sucesos de auditoría USER_SU o USER_Login, añada el mandato auditselect al archivo /etc/security/audit/bincmds especificando:
```
/usr/sbin/auditselect -e "event== USER_SU || event== \
USER_Login" $bin >> /audit/trail.login
```
Mientras la auditoría está habilitada, los registros para cada inicio de una sesión de usuario se leen del archivo bin actual y se graban en el archivo /audit/trail.login .
Para seleccionar registros de datos recopilados en secuencia que coinciden con un inicio de sesión de usuario que no ha sido satisfactorio, añada el mandato auditselect a la stanza auditstream en el archivo /etc/security/audit/streamcmds especificando:
```
/usr/sbin/auditstream -c authentication | \
/usr/sbin/auditselect -e "event == \
USER_Login && result == FAIL" | \
/usr/sbin/auditpr -t 2 -v >> /dev/lpr2
```
Para producir un seguimiento de auditoría de copia impresa, los registros de sucesos de autenticación no satisfactorios se graban en la impresora de línea de /dev/lpr2 .

Seleccionar sucesos de autenticación o inicio de sesión

Para buscar un archivo de seguimiento de auditoría para todos los sucesos que implican errores de autenticación:
```
/usr/sbin/auditselect -e "result == FAIL_AUTH"
/audit/oldtrail | /usr/sbin/auditpr -t -helt -v
```
Se imprimen los registros de sucesos que no han sido satisfactorios porque se ha denegado la autenticación. Los títulos de cabecera se imprimirán una vez, seguidos por el suceso, el ID de inicio de sesión y los campos de tiempo y, a continuación, el seguimiento de auditoría.
Para seleccionar registros de auditoría que se generan cuandosmithinicia sesión durante las primeras horas de trabajo durante la primera semana de mayo de 1987, introduzca:
/usr/sbin/auditselect -f /aaa/bbb \ /audit/trail1987 | /usr/sbin/auditpr
La cabecera HTTP/aaa/bbbdebe contener la línea siguiente:
```
 command == login && login == smith && 
 time >= 08:00:00 && time <= 17:00:00 && 
 date >= 05/01/87 && date <= 05/05/87
```

Comparación de series

Para comparar el nombre del suceso de auditoría con elUSER_Loginserie,Especifique una de las letras siguientes:
```
"event == USER_Login"
 
"event != USER_Login"
```
Para averiguar si el mandato passwd ha generado el suceso de auditoría, utilice:
```
"command == passwd"
```
Para averiguar si el mandato passwd no ha generado el suceso de auditoría, utilice:
```
"command != passwd"
```
Para comparar el estado de auditoría conOKserie de resultado,Intro:
```
"result == OK"
```
Para comparar el ID de usuario real o de inicio de sesión del proceso que ha generado el suceso de auditoría a un ID de usuario específico (ID de usuario014o el nombre de usuariocarol), especifique uno de los siguientes:
```
"login == 014"
"login != carol"
"login == 014 || login != carol"
"real == carol"
```
Para comparar el ID del proceso o el padre del proceso que ha generado el suceso de auditoría en el ID de proceso2006, especifique una de las siguientes opciones:
```
"pid == 2006"
"pid != 2006"
"ppid ==  2006" 
```
Nota: Aunque los ID de usuario y de proceso de inicio de sesión y reales se pueden comparar con los operadores de desigualdad ( < =, > =, <, > ), normalmente es innecesario hacerlo.
Para comparar la hora a la que se ha generado el suceso de auditoría08:03:00serie de tiempo, especifique una de las siguientes:
```
"time == 08:03:00"
"time != 08:03:00"
"time <  08:03:00"
"time <= 08:03:00"
"time >  08:03:00"
"time >= 08:03:00"
```
Se seleccionan los registros de auditoría que se ajustan a la comparación indicada08:03:00cadena de tiempo. La serie de tiempo debe estar de acuerdo con el formato especificado por el entorno local actual.
Para comparar la fecha en que se ha generado el suceso de auditoría en el05/05/89serie de fecha, especifique una de las siguientes:
```
"date == 05/03/89"
"date != 05/03/89"
"date <  05/03/89"
"date <= 05/03/89"
"date >  05/03/89"
"date >= 05/03/89" 
```
Se seleccionan los registros de auditoría que se ajustan a la comparación indicada05/05/89serie de fecha. La serie de fecha debe estar de acuerdo con el formato especificado por el entorno local actual.

Nota: El mandato auditselect no da soporte al distintivo -r para la modalidad de recuperación.

Opción de grabación en almacenamiento intermedio para registros de auditoría

Para utilizar la opción de grabación en almacenamiento intermedio para los registros de auditoría con un tamaño de almacenamiento intermedio de 520000 bytes para el subsistema de auditoría que se ha iniciado en modalidad bin, entre el mandato siguiente:
```
export AIX_AUDITBUFSZ=520000
/usr/sbin/auditselect -e "event== USER_SU || event==USER_Login" $bin >> /audit/trail.login 
```

Archivos

Elemento	Descripción
/usr/sbin/auditselect	Especifica la vía de acceso del mandato auditselect .
/etc/rc	Contiene los mandatos de inicialización del sistema.
/etc/security/audit/config	Contiene información de configuración del sistema de auditoría.
/etc/security/audit/events	Contiene los sucesos de auditoría del sistema.
/etc/security/audit/objects	Contiene sucesos de auditoría para objetos auditados (archivos).
/etc/security/audit/bincmds	Contiene mandatos de fondo auditbin.
/etc/security/audit/streamcmds	Contiene mandatos auditstream.
/etc/security/audit/hosts	Contiene el ID de CPU a correlaciones de nombre de host.