Утилита формирования бинарного журнала аудита безопасности КСЗ (менеджер аудита)
auditlogger2-ksz [-cnp][-f файл] [-S размер [kM]] [-v[v...]]
/var/ksz/auditksz.log
)ЗОСРВ «Нейтрино»
aarch64, arm, armv7, e2k, mips, ppc, x86
Эту утилиту может выполнить только пользователь root или администатор безопасности (пользователь, входящий в группу admksz). Для обеспечения возможности регистрации событий аудита в системе должна выполняться защищенная версия procnto-*-ksz. |
Менеджер auditlogger2-ksz получает события из инструментального защищенного ядра procnto-*-ksz и сохраняет их в файл или на устройство для последующего анализа. Для запуска менеджера пользователь должен обладать правами суперпользователя (пользователь root
).
Если не задана опция -n, подразумевается, что необходим запуск менеджера аудита с поддержкой оперативной сигнализации на АРМ администратора безопасности о нарушениях НСД и возникновениях сбоев в работе защищенной системы. Поддержка оперативной сигнализации требует наличия запущенного менеджера очередей сообщений mqueue. Менеджер аудита регистрирует для уведомлений очередь сообщений с именем /auditksz
. Стоит отметить, что процесс формирования уведомлений является достаточно трудоемким и на низкопроизводительных системах может приводить к потере событий аудита.
Использование менеджера очередей сообщений mq в данном случае не допустимо. Менеджер аудита регистрирует события аудита с периодичностью в 1 сек и менее, в случае возникновения большого количества событий аудита. Количество событий аудита может регулироваться опцией -K. A защищенной версии ядра procnto-*-ksz. Запись событий аудита в файл осуществляется после получения каждой группы событий аудита от защищенного ядра procnto-*-ksz. При этом в режиме расширенного вывода информации (опция -v[v]...) осуществляется вывод на терминал дополнительной информации, включающей информацию о потере событий аудита. Клиентскими приложениями для менеджера аудита являются: audittool-ksz, auditnotifier-ksz, phksz. |
Запуск auditlogger2-ksz в расширенном режиме с выводом информации о функционировании системы на экран консоли и без поддержки уведомлений на АРМ администратора безопасности:
auditlogger2-ksz -vvv -n
Запуск auditlogger2-ksz в режиме перезаписи предыдущего журнала аудита, расположенного по адресу /var/ksz/auditksz2.log
:
auditlogger2-ksz -c -f /var/ksz/auditksz2.log
Запуск auditlogger2-ksz в режиме разбиения файла журнала на блоки длиной 100 Кб при достижении данного размера:
auditlogger2-ksz -p -S 10k &
Выполнение auditlogger2-ksz в фоновом режиме с настройками по умолчанию:
auditlogger2-ksz &
Единовременно возможно выполнение только одного экземпляра auditlogger2-ksz.
Базовые подсистемы ЗОСРВ «Нейтрино», СЗИ
ЗОСРВ
«Нейтрино»
редакции 2020
утилита auditlogger_ksz заменёна на auditlogger2-ksz audittool-ksz, auditnotifier-ksz, phksz
Предыдущий раздел: Утилиты