事件文件
用途
包含有关系统审计事件的信息。
描述
/etc/security/audit/events文件是一个 ASCII 字符串文件,其中包含有关审计事件的信息。 该文件只包含一个 "auditpr节,其中列出了系统中的所有审计事件。 该节还包含格式化信息,"auditpr命令需要这些信息才能为每个事件写入审计尾注。
该节中的每个属性都是审计事件的名称,其格式如下:
AuditEvent = FormatCommand 根用户可以使用 "vi编辑器编辑事件文件。 事件文件中的评论以星号 (*) 开头。
format命令可以使用以下参数:
| 参数 | 描述 |
|---|---|
| (空) | 该事件没有尾部。 |
| printf 格式 | 根据为 格式 参数提供的字符串对尾部进行格式化。 字符串中的 %x 符号指示审计跟踪用于提供数据的位置。 |
| 程序"-i n 参数 ... | 尾部格式由使用程序参数指定的程序控制。 -i n参数作为第一个参数传递给程序,表示输出必须缩进n 个空格。 可以使用 自变量 参数指定其他格式设置信息。 审计事件名称将作为最后一个参数传递。 尾部被写到程序的标准输入。 |
审计事件格式化信息
| 格式 | 描述 |
|---|---|
| %A | 格式输出与 "aclget命令类似。 |
| %c | 将单个字节格式化为字符。 |
| %D | 格式化为设备主号码和次号码。 |
| %d | 格式为 32 位带符号十进制整数。 |
| %F | 在路径中移除所有点(..)或双点(....)后,格式化为绝对路径。 |
| %G | 格式化为以逗号分隔的组名或数字标识列表。 |
| %L | 格式为文本字符串,描述与互联网套接字和套接字本身相关的标识。 |
| %ld | 格式为 64 位有符号十进制整数。 |
| %lo | 格式设置为 64 位八进制值。 |
| %lx | %lx 已格式化为 64 位十六进制值。 |
| %lX | 格式化为 64 位十六进制值 (含大写字母)。 |
| %o | 格式为 32 位八进制整数。 |
| %P | 格式输出与 "pclget命令类似。 |
| %S | 格式为描述互联网插座的文本字符串。 |
| %s | 格式化为文本字符串。 |
| %T | 格式为包含日期和时间的文本字符串,秒为 6 位有效数字(DD Mmm YYYY HH:MM:SS:mmmuuu)。 |
| %u | 格式设置为 32 位无符号整数。 |
| %x | 格式设置为 32 位十六进制整数。 |
| %X | 格式为 32 位十六进制整数,字母大写。 |
| %% | 单个 "%' c" Haracter。 |
安全性
- 访问控制
- 该文件必须授予根用户和审计组成员读 (r) 访问权限,只授予根用户写 (w) 访问权限。
示例
要为新审计事件(如 "FILE_Open和 "PROC_Create)的审计记录尾部设置格式,请在 "/etc/security/audit/events文件的 "auditpr节中添加如下格式规范:
auditpr:
FILE_Open = printf "flags: %d mode: %o \
fd: %d filename: %s"
PROC_Create = printf "forked child process %d"
文件
| 项 | 描述 |
|---|---|
| /etc/security/audit/events | 指定文件路径。 |
| /etc/security/audit/config | 包含有关审计系统配置的信息。 |
| /etc/security/audit/objects | 包含有关已审计对象的信息。 |
| /etc/security/audit/bincmds | 包含 auditbin 后端命令。 |
| /etc/security/audit/streamcmds | 包含审计流命令。 |