auditbin 守护程序
用途
管理审计信息的二进制文件。
语法
auditbin
描述
在审计子系统中的 auditbin 守护程序管理交替收集守护审计事件数据的 bin1 和 bin2 临时二进制文件。 此命令还将数据记录的二进制文件传送到后端命令来处理。
当审计事件发生时,操作系统内核将一个记录写至一个二进制文件。 当一个二进制文件满时, auditbin 守护程序读取 /etc/security/audit/bincmds 文件并将二进制记录传送到在该文件中定义的后端命令。 /etc/security/audit/bincmds 文件的每行都包括一个或多个命令以及可以一起传送或重定向的输入和输出。 auditbin 守护程序在每个命令中搜索 $bin 字符串和 $trail 字符串,并用当前二进制文件的路径名称和系统跟踪文件来替换这些字符串。
auditbin 守护程序确保每个命令至少遇到二进制文件一次,但不会同步到这些二进制文件的访问。 当所有的命令已经运行了以后,二进制文件准备就绪来收集更多的审计记录。
如果一个命令不成功,auditbin 守护程序停止传送数据记录并在 root 用户或 audit 组成员停止此命令之前,每隔 60 秒向 /dev/tty 设备发送一条消息。
安全性
访问控制
此命令应向 root 用户和审计组的成员授予执行 (x) 访问权。 对于 root 用户命令是 setuid,并且有可信计算库属性。
访问的文件
| 方式 | 文件 |
|---|---|
| R | /etc/security/audit/config |
| R | /etc/security/audit/bincmds |
| rw | 定义审计二进制文件和跟踪文件 |
| X | 所有的二进制审计处理命令 |
RBAC 用户注意: 此命令可以执行特权操作。 只有特权用户才能执行特权限定的操作。 有关权限与特权的更多信息,请参阅安全性中的“特权限定的命令数据库”。 有关与该命令相关联的特权和权限的列表,请参阅 lssecattr 命令或 getcmdattr 子命令。
示例
- 要配置 auditbin 守护程序,请编辑 /etc/security/audit/config
文件的启动和二进制节,以包括下列属性定义:
start: binmode = on bin: trail = /audit/trail bin1 = /audit/bin1 bin2 = /audit/bin2 binsize = 25000 cmds = /etc/security/audit/bincmds - 要定义用于处理审计跟踪的命令,请编辑 /etc/security/audit/bincmds
文件,以包括一个或多个命令行,例如下列各行:
第一行命令行将压缩的审计二进制文件附加到审计跟踪文件。 第二行选择USER_Login每个 bin 文件中的记录,并将它们传递到auditpr用于格式化的命令,并将记录附加到 /etc/log 文件。/usr/sbin/auditcat -p -o $trail $bin /usr/sbin/auditselect -e "event == USER_Login" \ $bin | /usr/sbin/auditpr >> /etc/log - 要在用于在集中式位置(例如 Virtual I/O Server (VIOS) 系统)中捕获审计记录的
auditbin 守护程序中启用虚拟日志,请将以下属性添加至
/etc/security/audit/config 文件的二进制节:
bin: virtual_log = /dev/vlog0注: /dev/vlog0 设备路径是一个示例。 根据从连接的 VIOS 系统配置虚拟日志的方式,在每个客户机逻辑分区 (LPAR) 上,实际设备名称可能不同。
文件
| 项 | 描述 |
|---|---|
| /usr/sbin/auditbin | 指定 auditbin 守护程序的路径。 |
| /audit/binX | 指定缺省二进制收集文件的路径,x 指出二进制编号。 |
| /etc/security/audit/config | 包含审计系统配置信息。 |
| /etc/security/audit/events | 包含系统的审计事件。 |
| /etc/security/audit/objects | 包含被审计对象(文件)的审计事件。 |
| /etc/security/audit/bincmds | 包含 auditbin 后端命令。 |
| /etc/security/audit/streamcmds | 包含 auditstream 命令。 |