Mandato de auditoría
Finalidad
Crea un canal para leer registros de auditoría.
Sintaxis
auditstream [ -m ] [ -c Class ...]Descripción
El mandato auditstream forma parte del subsistema de auditoría. Este mandato lee registros de auditoría del archivo /dev/audit (el dispositivo de auditoría) y copia los registros en la salida estándar en formato binario. Puede seleccionar un subconjunto de los registros de auditoría especificando clases de auditoría (definidas en el archivo /etc/security/audit/config ) con el distintivo -c ; de lo contrario, se copiarán todas las clases de auditoría habilitadas actualmente.
Los datos de la secuencia de auditoría se pueden visualizar y procesar a medida que se generan. Por ejemplo, la salida del mandato se puede direccionar a un mandato de programa de fondo de auditoría para su posterior proceso o redireccionarse a un archivo. Tanto el mandato auditselect , que selecciona registros de datos de acuerdo con criterios definidos, como el mandato auditpr , que formatea los registros para su visualización o para su impresión, son ejemplos de mandatos de programa de fondo.
El mandato auditstream se puede llamar desde la línea de mandatos o se puede configurar para que se ejecute varias veces como parte de la configuración del sistema de auditoría. Para obtener información sobre la configuración del comando " auditstream ", consulte "Configuración de la auditoría" en Seguridad y el archivo " /etc/security/audit/config ".
La variable de entorno AIX_AUDITBUFSZ permite la operación de grabación en almacenamiento intermedio de los registros de auditoría de auditstream . La opción de escritura en almacenamiento intermedio es útil para aplicaciones de alto rendimiento que generan muchos registros de auditoría.
La variable de entorno AIX_AUDITBUSZ acepta valores decimales y hexadecimales en el rango de 8192 bytes-67 MB. Cualquier otro valor positivo fuera del rango de valores permitidos se redondeará al principio del rango o al final del rango en función del valor más próximo. Si este valor de variable no está establecido o a esta variable se le asignan valores negativos o valores no numéricos, se ignora la variable AIX_AUDITBUSZ .
Distintivos
| Elemento | Descripción |
|---|---|
| -c Clase | Especifica las clases de auditoría que se deben copiar. Cada clase debe configurarse en el archivo etc/security/audit/config como una lista de sucesos de auditoría separados por comas. El valor predeterminado es todos los sucesos de auditoría habilitados actualmente. |
| -m | Incluye el ID de procesador, los roles y los privilegios en cada registro de auditoría. |
Seguridad
- Control de accesos
Este mandato debe otorgar acceso de ejecución (x) al usuario root y a los miembros del grupo de auditoría. El mandato debe ser setuid para el usuario root y tener el atributo trusted computing base .
- Archivos accedidos
Tabla 2. Archivos accedidos Modo Archivo :NONE. /dev/audit - Usuarios de RBAC
- Usuarios RBAC de atención: este mandato puede realizar operaciones con privilegios. Sólo los usuarios con privilegios pueden ejecutar operaciones con privilegios. Para obtener más información sobre autorizaciones y privilegios, consulte Base de datos de comandos privilegiados en Seguridad. Para obtener una lista de los privilegios y las autorizaciones que se asocian a este comando, consulte el comando " lssecattr " o el subcomando " getcmdattr ".
Ejemplos
- Para configurar la recopilación de corriente de datos de auditoría cuando se inicializa el sistema de auditoría, añada lo siguiente a la stanza de corriente del archivo /etc/security/audit/config :
A continuación, añada lo siguiente a la stanza start:cmds = /etc/security/audit/streamcmds
A continuación, añada al archivo /etc/security/audit/streamcmds todos los mandatos de ruta que deben ejecutarse cuando se inicialice el sistema de auditoría. Por ejemplo:streammode=on
El primer mandato formatea todos los registros de sucesos de la clase de autenticación y los graba en la consola del sistema. El segundo mandato formatea todos los registros que han dado lugar a una denegación de acceso y los imprime en la impresora /dev/lp2./usr/sbin/auditstream -c authentication | \ /usr/sbin/auditpr -v > /dev/console /usr/sbin/auditstream | /usr/sbin/auditselect -e \ "result == FAIL_ACCESS" | \ /usr/sbin/auditpr -t 2 -v > /dev/lpr2 - Para registrar sucesos de secuencia de auditoría en una impresora de línea, entre:
Este mandato formatea y graba todos los sucesos de inicio de sesión de usuario y/usr/sbin/auditstream | /usr/sbin/auditselect -e "event == \ USER_Login || event == USER_SU" | \ /usr/sbin/auditpr -v > /dev/lp0 &suen la impresora de líneas. - Para utilizar la opción de grabación en almacenamiento intermedio para los registros de auditoría con un tamaño de almacenamiento intermedio de 520000 bytes para el subsistema de auditoría que se ha iniciado en modalidad de vapor, entre el mandato siguiente:
export AIX_AUDITBUFSZ=520000 /usr/sbin/audit startNota: En modalidad de corriente, la variable de entorno AIX_AUDITBUSZ se debe establecer antes de que se inicie el subsistema de auditoría.
Archivos
| Elemento | Descripción |
|---|---|
| /usr/sbin/auditstream | Especifica la vía de acceso del mandato auditstream . |
| /etc/rc | Contiene las rutinas de arranque del sistema. |
| /dev/audit | Especifica el dispositivo de auditoría. |
| /etc/security/audit/config | Contiene información de configuración del sistema de auditoría. |
| /etc/security/audit/events | Contiene los sucesos de auditoría del sistema. |
| /etc/security/audit/objects | Contiene sucesos de auditoría para objetos auditados (archivos). |
| /etc/security/audit/bincmds | Contiene mandatos de programa de fondo de auditbin . |
| /etc/security/audit/streamcmds | Contiene mandatos auditstream . |
| /etc/security/audit/hosts | Contiene ID de host y procesador. |