Вопрос или проблема
Я включил аудит на hpux 10.20
vim /etc/rc.config.d/auditing
AUDITING=1
PRI_AUDFILE=/.secure/etc/audfile1
PRI_SWITCH=1000
SEC_AUDFILE=/.secure/etc/audfile2
SEC_SWITCH=1000
AUDEVENT_ARGS1="-P -F -e moddac -e login -e admin"
AUDEVENT_ARGS2=""
AUDEVENT_ARGS3=""
AUDOMON_ARGS="-p 20 -t 1 -w 90"
запустить аудит
audsys -c /.secure/etc/audfile1 -x /.secure/etc/audfile2 -s 1000 -z 1000
я перезагрузил и..
audisp -u root
пользователи и идентификаторы:
root
0
Все события выбраны.
Все терминалы выбраны.
Выбор успешных и неудачных событий.
ВРЕМЯ PID E СОБЫТИЕ PPID AID RUID RGID EUID EGID TTY
как видите, события не регистрируются, почему?
Ответ или решение
Причины отсутствия событий в системе аудита HP-UX 10.20
Вам удалось успешно включить аудит на HP-UX 10.20, однако система не фиксирует никаких событий. Для диагностики этой проблемы мы рассмотрим возможные причины и предложим шаги по их устранению.
1. Корректность конфигурации
Проверка конфигурационных файлов
Убедитесь, что файл /etc/rc.config.d/auditing правильно настроен, и все переменные заданы корректно:
AUDITING=1— должно быть включено;PRI_AUDFILEиSEC_AUDFILEправильно указывают на существующие пути;AUDEVENT_ARGS1содержит допустимые параметры. В вашем случае вы указали:-P -F -e moddac -e login -e adminУбедитесь, что эти события действительно имеют место происходить в вашей системе.
2. Старт процесса аудита
Инициализация процесса аудита
Вы запускаете процесс аудита с помощью следующей команды:
audsys -c /.secure/etc/audfile1 -x /.secure/etc/audfile2 -s 1000 -z 1000Эта команда должна корректно инициализировать аудирование. Рекомендуется проверить, запущены ли все необходимые демон-процессы. Используйте команду:
ps -ef | grep audЭто позволит вам удостовериться, что процессы аудита активно работают.
3. Настройка событий
Выбор событий для аудита
Хотя вы выбрали события, важно убедиться, что они действительно происходят. Для этого:
- Проверьте, что пользователи, которые должны генерировать события (например,
root,login), действительно выполняют действия, попадающие под указанные вами события. - Убедитесь, что события
moddac,login,adminсоответствуют реальной активности в системе.
4. Проверка файла аудита
Анализ файлов аудита
Проверьте, создаются ли файлы аудита:
- Убедитесь, что директория
/.secure/etc/существует и доступна для записи пользователю, под которым работают процессы аудита. - Проверьте наличие файла
audfile1после перезапуска системы. Если файл не создается, это может указывать на проблему с правами доступа или конфигурацией.
5. Просмотр параметров мониторинга
Настройки мониторинга
Параметры, указанные в AUDOMON_ARGS, также могут быть важными:
- Убедитесь, что параметры, такие как
-p,-t, и-w, соответствуют ожидаемым значениям и не блокируют генерируемые события.
6. Логи системы
Просмотр логов
Если проблема все еще не решена, просмотрите системные логи:
- Команда
dmesgможет помочь обнаружить ошибки, связанные с процессами аудита. - Логи могут содержать дополнительную информацию о том, почему события не регистрируются.
Заключение
Отсутствие событий в аудите HP-UX 10.20 может быть вызвано несколькими факторами, включая некорректную конфигурацию, недостаточные права доступа или отсутствие соответствующей активности. Пройдите через предложенные шаги, и вы сможете найти источник проблемы. По мере проверки, если возникнут дополнительные трудности, рассмотрите возможность обращения к документации HP-UX или специализированным форумам для получения более конкретных рекомендаций.