Gestión de registros de auditoría

Mediante la gestión de la pista de auditoría, puede supervisar las acciones de usuarios de la red. La auditoría puede generar grandes cantidades de datos. Las siguientes tareas muestran cómo trabajar con todos estos datos.

Cómo visualizar formatos de registros de auditoría

Para escribir secuencias de comandos que puedan encontrar los datos de auditoría que desea, necesita saber el orden de los tokens en un evento de auditoría. El comando bsmrecord muestra el número de evento de auditoría, la clase de auditoría, la máscara de selección y el formato de registro de un evento de auditoría.

Coloque el formato de todos los registros de eventos de auditoría en un archivo HTML.
La opción -a muestra una lista de todos los formatos de registros de eventos de auditoría. La opción -h coloca la lista en formato HTML, que puede visualizarse en un explorador.
```
% bsmrecord -a -h > audit.events.html
```
Cuando visualice el archivo *html en un explorador, use la herramienta de búsqueda del explorador para encontrar registros específicos.
Para obtener más información, consulte la página del comando man bsmrecord(1M).

Ejemplo 30-26 Visualización de los formatos de registros de auditoría de un programa

En este ejemplo, se muestra el formato de todos los registros de auditoría que se generan mediante el programa login. Los programas de inicio de sesión incluyen rlogin, telnet, newgrp, el inicio de sesión de rol en Solaris Management Console y Oracle Solaris Secure Shell.

% bsmrecord -p login
login: logout
  program     various              See login(1)
  event ID    6153                 AUE_logout
…

newgrp
  program     newgrp               See newgrp login
  event ID    6212                 AUE_newgrp_login
…

rlogin
  program     /usr/sbin/login      See login(1) - rlogin
  event ID    6155                 AUE_rlogin
…

SMC: role login
  program     SMC server           See role login
  event ID    6173                 AUE_role_login
…

/usr/lib/ssh/sshd
  program     /usr/lib/ssh/sshd    See login - ssh
  event ID    6172                 AUE_ssh
…

telnet login
  program     /usr/sbin/login      See login(1) - telnet
  event ID    6154                 AUE_telnet
  …

Ejemplo 30-27 Visualización de formatos de registros de auditoría de una clase de auditoría

En este ejemplo, se muestra el formato de todos los registros de auditoría en la clase fd.

% bsmrecord -c fd

rmdir
  system call rmdir                See rmdir(2)
  event ID    48                   AUE_RMDIR
  class       fd                   (0x00000020)
      header
      path
      [attribute]
      subject
      [use_of_privilege]
      return

unlink
  system call unlink               See unlink(2)
  event ID    6                    AUE_UNLINK
  …

unlinkat
  system call unlinkat             See openat(2)
  event ID    286                  AUE_UNLINKAT
  …

Cómo fusionar archivos de auditoría de la pista de auditoría

Al fusionar todos los archivos de auditoría en todos los directorios de auditoría, puede analizar los contenidos de toda la pista de auditoría. El comando auditreduce fusiona todos los registros de los archivos de entrada en un solo archivo de salida. Entonces, los archivos de entrada se pueden suprimir. Cuando el archivo de salida está ubicado en un directorio denominado /etc/security/audit/nombre_servidor /files, el comando auditreduce puede encontrar el archivo de salida sin especificar la ruta completa.

Nota - Este procedimiento se aplica únicamente a los registros binarios de auditoría.

Asuma un rol que incluya el perfil de revisión de auditoría o conviértase en superusuario.
El rol de administrador del sistema incluye el perfil de revisión de auditoría. También puede crear un rol distinto que incluya el perfil de revisión de auditoría. Para crear un rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas).
Cree un directorio para almacenar los archivos de auditoría fusionados.
```
# mkdir audit-trail-directory
```

Limite el acceso al directorio.

# chmod 700 audit-trail-directory
# ls -la audit-trail-directory
drwx------   3 root     sys          512 May 12 11:47 .
drwxr-xr-x   4 root     sys         1024 May 12 12:47 ..

Fusione los registros de auditoría en la pista de auditoría.
Cambie los directorios al directorio_pista_auditoría y fusione los registros de auditoría en un archivo con un sufijo con nombre. Todos los directorios que se muestran en las líneas dir del archivo audit_control en el sistema local están fusionados.
```
# cd audit-trail-directory
# auditreduce -Uppercase-option -O suffix
```
Las opciones en mayúscula del comando auditreduce manipulan los archivos en la pista de auditoría. Las opciones en mayúscula incluyen las siguientes:
-A

Selecciona todos los archivos en la pista de auditoría.

-C

Selecciona únicamente archivos completos. Esta opción ignora los archivos con el sufijo not_terminated.

-M

Selecciona los archivos con un sufijo determinado. El sufijo puede ser un nombre de equipo o puede ser un sufijo que haya especificado para un archivo de resumen.

-O

Crea un archivo de auditoría con indicadores de hora de 14 caracteres para la hora de inicio y la hora de finalización, con el sufijo sufijo en el directorio actual.

Ejemplo 30-28 Copia de archivos de auditoría a un archivo de resumen

En el siguiente ejemplo, el rol de administrador del sistema, sysadmin, copia todos los archivos de la pista de auditoría en un archivo fusionado.

$ whoami
sysadmin
$ mkdir /var/audit/audit_summary.dir
$ chmod 700 /var/audit/audit_summary.dir
$ cd /var/audit/audit_summary.dir
$ auditreduce -A -O All
$ ls *All
20100827183214.20100827215318.All

En el siguiente ejemplo, únicamente se copian archivos completos de la pista de auditoría a un archivo fusionado.

$ cd /var/audit/audit_summary.dir
$ auditreduce -C -O Complete
$ ls *Complete
20100827183214.20100827214217.Complete

En el siguiente ejemplo, únicamente se copian archivos completos del equipo example1 a un archivo fusionado.

$ cd /var/audit/audit_summary.dir
$ auditreduce -M example1 -O example1summ
$ ls *summ
20100827183214.20100827214217.example1summ

Ejemplo 30-29 Cómo mover archivos de auditoría a un archivo de resumen

La opción -D del comando auditreduce elimina un archivo de auditoría cuando lo copia en otra ubicación. En el siguiente ejemplo, los archivos de auditoría completos de un sistema se copian en el directorio de resumen para examinarlos posteriormente.

$ cd /var/audit/audit_summary.dir
$ auditreduce -C -O daily_example1 -D example1
$ ls *example1
20100827183214.20100827214217.daily_example1

Los archivos de auditoría del sistema example1 que se introdujeron en el archivo *daily_example1 se eliminan cuando este comando se completa correctamente.

Cómo seleccionar eventos de auditoría de la pista de auditoría

Puede filtrar registros de auditoría para examinarlos. Para obtener una lista completa de las opciones de filtrado, consulte la página del comando man auditreduce(1M).

Asuma un rol que incluya el perfil de revisión de auditoría o conviértase en superusuario.
El rol de administrador del sistema incluye el perfil de revisión de auditoría. También puede crear un rol distinto que incluya el perfil de revisión de auditoría. Para crear un rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas).
Seleccione los tipos de registros que desee de la pista de auditoría o de un archivo de auditoría especificado.
```
auditreduce -lowercase-option argument [optional-file]
```
argumento

Argumento específico que requiere una opción en minúscula. Por ejemplo, la opción -c requiere un argumento de una clase de auditoría, como ua.

-d

Selecciona todos los eventos en una fecha determinada. El formato de fecha de argumento es aaammdd. Otras opciones de fecha, -b y -a, seleccionan los eventos antes y después de una fecha determinada.

-u

Selecciona todos los eventos atribuibles a un usuario determinado. El argumento es un nombre de usuario. Otra opción de usuario, -e, selecciona todos los eventos atribuibles a un ID de usuario vigente.

-c

Selecciona todos los eventos de una clase de auditoría preseleccionada. El argumento es un nombre de clase de auditoría

-m

Selecciona todas las instancias de un evento de auditoría determinado. El argumento es un evento de auditoría.

archivo_opcional

Es el nombre de un archivo de auditoría.

Ejemplo 30-30 Combinación y reducción de archivos de auditoría

El comando auditreduce puede eliminar los registros menos interesantes a medida que combina los archivos de entrada. Por ejemplo, puede utilizar el comando auditreduce para retener únicamente los registros de inicio y cierre de sesión en los archivos de auditoría de más de un mes. Si necesita recuperar la pista de auditoría completa, puede recuperar la pista del medio de copia de seguridad.

# cd /var/audit/audit_summary.dir
# auditreduce -O lo.summary -b 20100827 -c lo; compress *lo.summary

Ejemplo 30-31 Copia de registros de auditoría na en un archivo de resumen

En este ejemplo, se recopilan en un solo archivo todos los registros de eventos de auditoría no atribuibles en la pista de auditoría.

$ whoami
sysadmin
$ cd /var/audit/audit_summary.dir
$ auditreduce -c na -O nasumm
$ ls *nasumm
20100827183214.20100827215318.nasumm

El archivo de auditoría fusionado nasumm tiene un indicador de hora con la fecha de inicio y de finalización de los registros na.

Ejemplo 30-32 Búsqueda de eventos de auditoría en un archivo de auditoría especificado

Puede seleccionar manualmente archivos de auditoría para buscar únicamente el conjunto de los archivos denominado. Por ejemplo, puede seguir procesando el archivo *nasumm en el ejemplo anterior para buscar eventos de inicio de sistema. Para ello, tendría que especificar el nombre de archivo como argumento final en el comando auditreduce.

$ auditreduce -m 113 -O systemboot 20100827183214.20100827215318.nasumm
20100827183214.20100827183214.systemboot

El archivo 20100827183214.20100827183214.systemboot contiene únicamente eventos de auditoría de inicio de sistema.

Ejemplo 30-33 Copia de los registros de auditoría de un usuario en un archivo de resumen

En este ejemplo, se fusionan los registros en la pista de auditoría que contienen el nombre de un usuario determinado. La opción -e busca el usuario vigente. La opción -u busca el usuario de auditoría.

$ cd /var/audit/audit_summary.dir
$ auditreduce -e tamiko -O tamiko

Puede buscar eventos específicos en este archivo. En el siguiente ejemplo, se verifica la hora en que el usuario inició y cerró sesión el 7 de septiembre de 2010, hora local. Sólo se verifican los archivos con el nombre del usuario como sufijo de archivo. La abreviatura de la fecha es aaaammdd.

# auditreduce -M tamiko -O tamikolo -d 20100907 -u tamiko -c lo

Ejemplo 30-34 Copia de registros seleccionados en un archivo único

En este ejemplo, se seleccionan de la pista de auditoría los mensajes de inicio y cierre de sesión de un día determinado. Los mensajes se fusionan en un archivo de destino. El archivo de destino se escribe en un directorio distinto que el directorio root de auditoría normal.

# auditreduce -c lo -d 20100827 -O /var/audit/audit_summary.dir/logins
# ls /var/audit/audit_summary.dir/*logins
/var/audit/audit_summary.dir/20100827183936.20100827232326.logins

Cómo visualizar el contenido de los archivos de auditoría binarios

El comando praudit lo habilita a ver los contenidos de los archivos de auditoría binarios. Puede redireccionar la salida del comando auditreduce o puede leer un archivo de auditoría determinado. La opción -x es útil para el procesamiento posterior.

Asuma un rol que incluya el perfil de revisión de auditoría o conviértase en superusuario.
El rol de administrador del sistema incluye el perfil de revisión de auditoría. También puede crear un rol distinto que incluya el perfil de revisión de auditoría. Para crear un rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas).

Utilice uno de los siguientes comandos praudit para producir la mejor salida según su propósito.

Los siguientes ejemplos muestran la salida de praudit para el mismo evento de auditoría. Las políticas de auditoría se configuraron para incluir los tokens sequence y trailer.

El comando praudit -s muestra los registros de auditoría en formato corto, un token por línea. Utilice la opción -l para colocar cada registro en una línea.

$ auditreduce -c lo | praudit -s
header,101,2,AUE_rlogin,,example1,2010-10-13 11:23:31.050 -07:00
subject,jdoe,jdoe,staff,jdoe,staff,749,749,195 1234 server1
text,successful login 
return,success,0 
sequence,1298

El comando praudit -r muestra los registros de auditoría en su formato básico, un token por línea. Utilice la opción -l para colocar cada registro en una línea.

$ auditreduce -c lo | praudit -r
21,101,2,6155,0x0000,192.168.60.83,1062021202,64408258
36,2026700,2026700,10,2026700,10,749,749,195 1234 192.168.60.17
40,successful login
39,0,0
47,1298

El comando praudit -x muestra los registros de auditoría en formato XML, un token por línea. Utilice la opción -l para colocar la salida XML para un registro en una línea.

$ auditreduce -c lo | praudit -x
<record version="2" event="login - rlogin" host="example1" 
time="Wed Aug 27 14:53:22 PDT 2010" msec="64">
<subject audit-uid="jdoe" uid="jdoe" gid="staff" ruid="jdoe" 
rgid="staff" pid="749" sid="749" tid="195 1234 server1"/>
<text>successful login</text>
<return errval="success" retval="0"/>
<sequence seq-num="1298"/>

</record>

Ejemplo 30-35 Impresión de toda la pista de auditoría

Con un conducto al comando lp, la salida de toda la pista de auditoría pasa a la impresora. La impresora debe tener acceso limitado.

# auditreduce | praudit | lp -d example.protected.printer

Ejemplo 30-36 Visualización de un archivo de auditoría específico

En este ejemplo, se examina un inicio de sesión resumido en la ventana de terminal.

# cd /var/audit/audit_summary.dir/logins
# praudit 20100827183936.20100827232326.logins | more

Ejemplo 30-37 Cómo poner los registros de auditoría en formato XML

En este ejemplo, los registros de auditoría se convierten en formato XML.

# praudit -x 20100827183214.20100827215318.logins > 20100827.logins.xml

El archivo *xml se puede visualizar en un explorador. El contenido del archivo sólo puede ser operado por una secuencia de comandos para extraer la información relevante.

Errores más frecuentes

Un mensaje similar al siguiente indica que no tiene privilegios suficientes para usar el comando praudit:

praudit: Can't assign 20090408164827.20090408171614.example1 to stdin.

Cómo depurar un archivo de auditoría `not_terminated`

Ocasionalmente, existe un daemon de auditoría mientras su archivo de auditoría está abierto. O bien, un servidor pasa a estar inaccesible y fuerza al equipo a que pase a un nuevo servidor. En esos casos, un archivo de auditoría permanece con la cadena not_terminated como indicación de hora final, aunque el archivo ya no se utilice para los registros de auditoría. Utilice el comando auditreduce -O para otorgar al archivo la indicación de hora correcta.

Enumere los archivos con la cadena not_terminated en el sistema de archivo de auditoría según el orden de creación.
```
# ls -R1t audit-directory*/files/* | grep not_terminated
```
-R

Muestra los archivos en los subdirectorios.

-t

Muestra la lista de archivos desde el más reciente hasta el más antiguo.

-1

Muestra los archivos en una columna.
Depure el archivo not_terminated anterior.
Especifique el nombre del archivo anterior en el comando auditreduce -O.
```
# auditreduce -O system-name old-not-terminated-file
```

Elimine el archivo not_terminated anterior.

# rm system-name old-not-terminated-file

Ejemplo 30-38 Depuración de archivos de auditoría not_terminated cerrados

En el siguiente ejemplo, se encontraron archivos not_terminated, se renombraron, y se eliminaron los originales.

ls -R1t */files/* | grep not_terminated
…/egret.1/20100908162220.not_terminated.egret
…/egret.1/20100827215359.not_terminated.egret
# cd */files/egret.1
# auditreduce -O egret 20100908162220.not_terminated.egret
# ls -1t
20100908162220.not_terminated.egret Current audit file
20100827230920.20100830000909.egret Input (old) audit file
20100827215359.not_terminated.egret
# rm 20100827215359.not_terminated.egret
# ls -1t
20100908162220.not_terminated.egret Current audit file
20100827230920.20100830000909.egret Cleaned up audit file

La indicación de hora de inicio en el nuevo archivo refleja la hora del primer evento de auditoría en el archivo not_terminated. La indicación de hora final refleja la hora del último evento de auditoría en el archivo.

Cómo evitar el desbordamiento de la pista de auditoría

Si la política de seguridad requiere que todos los datos de auditoría se guarden, realice las siguientes acciones:

Configure un programa para archivar con regularidad los archivos de auditoría.
Almacene los archivos de auditoría mediante una copia de los archivos en los medios sin conexión. También puede mover los archivos a un sistema de archivos de almacenamiento.
Si está recopilando registros de auditoría textual con la utilidad syslog, archive los registros textuales. Para más información, consulte la página del comando man logadm(1M).
Establezca un programa para eliminar los archivos almacenados del sistema de archivos de auditoría.
Guarde y almacene información auxiliar.
Archive la información que sea necesaria para interpretar los registros de auditoría junto con la pista de auditoría.
Mantenga registros de qué archivos de auditoría se han archivado.
Almacene los medios archivados adecuadamente.
Reduzca el volumen de los datos de auditoría que almacene mediante la creación de archivos de resumen.
Puede extraer archivos de resumen de la pista de auditoría mediante las opciones en el comando auditreduce. Los archivos de resumen contienen únicamente los registros en tipos especificad+os de eventos de auditoría. Para extraer archivos de resumen, consulte Ejemplo 30-30 y Ejemplo 30-34.

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de administración del sistema: servicios de seguridad