auditlogger2-ksz

Утилита формирования бинарного журнала аудита безопасности КСЗ (менеджер аудита)

Синтаксис:

auditlogger2-ksz [-cnp][-f файл] [-S размер [kM]] [-v[v...]]

Опции:

-c
Открыть журнал аудита в режиме перезаписи
-f файл
Имя файла журнала аудита(по умолчанию /var/ksz/auditksz.log)
-n
Отключение сигнализации попыток НСД
-p
Разбивать журнал на блоки (при указании -S)
-S размер[kM]
Максимальный размер файла журнала (не менее 16k)
-v
увеличить подробность вывода

Платформы:

ЗОСРВ «Нейтрино»

Целевые архитектуры:

aarch64, arm, armv7, e2k, mips, ppc, x86

Описание:


Caution: Эту утилиту может выполнить только пользователь root или администатор безопасности (пользователь, входящий в группу admksz). Для обеспечения возможности регистрации событий аудита в системе должна выполняться защищенная версия procnto-*-ksz.

Менеджер auditlogger2-ksz получает события из инструментального защищенного ядра procnto-*-ksz и сохраняет их в файл или на устройство для последующего анализа. Для запуска менеджера пользователь должен обладать правами суперпользователя (пользователь root).

Если не задана опция -n, подразумевается, что необходим запуск менеджера аудита с поддержкой оперативной сигнализации на АРМ администратора безопасности о нарушениях НСД и возникновениях сбоев в работе защищенной системы. Поддержка оперативной сигнализации требует наличия запущенного менеджера очередей сообщений mqueue. Менеджер аудита регистрирует для уведомлений очередь сообщений с именем /auditksz. Стоит отметить, что процесс формирования уведомлений является достаточно трудоемким и на низкопроизводительных системах может приводить к потере событий аудита.


Caution: Использование менеджера очередей сообщений mq в данном случае не допустимо. Менеджер аудита регистрирует события аудита с периодичностью в 1 сек и менее, в случае возникновения большого количества событий аудита. Количество событий аудита может регулироваться опцией -K. A защищенной версии ядра procnto-*-ksz. Запись событий аудита в файл осуществляется после получения каждой группы событий аудита от защищенного ядра procnto-*-ksz. При этом в режиме расширенного вывода информации (опция -v[v]...) осуществляется вывод на терминал дополнительной информации, включающей информацию о потере событий аудита. Клиентскими приложениями для менеджера аудита являются: audittool-ksz, auditnotifier-ksz, phksz.

Примеры:

Запуск auditlogger2-ksz в расширенном режиме с выводом информации о функционировании системы на экран консоли и без поддержки уведомлений на АРМ администратора безопасности:

auditlogger2-ksz -vvv -n

Запуск auditlogger2-ksz в режиме перезаписи предыдущего журнала аудита, расположенного по адресу /var/ksz/auditksz2.log:

auditlogger2-ksz -c -f /var/ksz/auditksz2.log

Запуск auditlogger2-ksz в режиме разбиения файла журнала на блоки длиной 100 Кб при достижении данного размера:

auditlogger2-ksz -p -S 10k &

Выполнение auditlogger2-ksz в фоновом режиме с настройками по умолчанию:

auditlogger2-ksz &

Возвращаемое значение:

-1
Возникла ошибка

Предостережения:

Единовременно возможно выполнение только одного экземпляра auditlogger2-ksz.

Классификация:

Базовые подсистемы ЗОСРВ «Нейтрино», СЗИ

В ЗОСРВ «Нейтрино» редакции 2020 утилита auditlogger_ksz заменёна на auditlogger2-ksz

Тематические ссылки:

audittool-ksz, auditnotifier-ksz, phksz




Предыдущий раздел: Утилиты