Gestión de registros de auditoría en sistemas locales (tareas)

El complemento predeterminado, audit_binfile, crea una pista de auditoría. La pista puede contener grandes cantidades de datos. Las siguientes tareas muestran cómo trabajar con todos estos datos.

Gestión de registros de auditoría en sistemas locales (mapa de tareas)

El siguiente mapa de tareas hace referencia a los procedimientos para seleccionar, analizar y gestionar los registros de auditoría.

Tarea	Descripción	Para obtener instrucciones
Mostrar los formatos de los registros de auditoría.	Muestra el tipo de información que se recopila para un evento de auditoría y el orden en que se presenta la información.	Cómo visualizar definiciones de registros de auditoría
Fusionar registros de auditoría.	Combina los archivos de auditoría de varias máquinas en una pista de auditoría.	Cómo fusionar archivos de auditoría de la pista de auditoría
Seleccionar los registros para examinar.	Selecciona eventos determinados de estudio.	Cómo seleccionar eventos de auditoría de la pista de auditoría
Mostrar registros de auditoría.	Permite la visualización de registros de auditoría binarios.	Cómo visualizar el contenido de los archivos de auditoría binarios
Depurar archivos de auditoría denominados incorrectamente.	Proporciona una indicación de hora final para auditar archivos de auditoría que quedaron abiertos inadvertidamente en el servicio de auditoría.	Cómo depurar un archivo de auditoría `not_terminated`
Evitar el desbordamiento de la pista de auditoría.	Impide que los sistemas de archivos de auditoría se llenen.	Cómo evitar el desbordamiento de la pista de auditoría

Cómo visualizar definiciones de registros de auditoría

El comando auditrecord muestra definiciones de registros de auditoría. Las definiciones indican el número de evento de auditoría, la clase de auditoría, la máscara de selección y el formato de registro de un evento de auditoría.

Coloque las definiciones de todos los registros de eventos de auditoría en un archivo HTML.
La opción -a muestra una lista de todas las definiciones de eventos de auditoría. La opción -h coloca la lista en formato HTML.
```
% auditrecord -ah > audit.events.html
```
Consejo - Cuando visualiza el archivo HTML en un explorador, use la herramienta de búsqueda del explorador para buscar definiciones de registros de auditoría específicas.

Para obtener más información, consulte la página del comando man auditrecord(1M).

Ejemplo 28-27 Visualización de las definiciones de registros de auditoría de un programa

En este ejemplo, se muestra la definición de todos los registros de auditoría que se generan mediante el programa login. Los programas de inicio de sesión incluyen rlogin, telnet, newgrp y la función de Secure Shell de Oracle Solaris.

% auditrecord -p login
...
login: logout
  program     various              See login(1)
  event ID    6153                 AUE_logout
  class       lo                  (0x0000000000001000)
...
newgrp
  program     newgrp               See newgrp login
  event ID    6212                 AUE_newgrp_login
  class       lo                  (0x0000000000001000) 
...
rlogin
  program     /usr/sbin/login      See login(1) - rlogin
  event ID    6155                 AUE_rlogin
  class       lo                   (0x0000000000001000)
...
/usr/lib/ssh/sshd
  program     /usr/lib/ssh/sshd    See login - ssh
  event ID    6172                 AUE_ssh
  class       lo                   (0x0000000000001000)
...
telnet login
  program     /usr/sbin/login      See login(1) - telnet
  event ID    6154                 AUE_telnet
  class       lo                   (0x0000000000001000)
  …

Ejemplo 28-28 Visualización de definiciones de registros de auditoría de una clase de auditoría

En este ejemplo, se muestran las definiciones de todos los registros de auditoría en la clase pf que fue creada en el Ejemplo 28-10.

% auditrecord -c pf

pfexec
  system call pfexec               See execve(2) with pfexec enabled
  event ID    116                  AUE_PFEXEC
  class       pf                   (0x0100000000000000)
      header
      path                    pathname of the executable
      path                    pathname of working directory
      [privileges]            privileges if the limit or inheritable set are changed
      [privileges]            privileges if the limit or inheritable set are changed
      [process]               process if ruid, euid, rgid or egid is changed
      exec_arguments
      [exec_environment]      output if arge policy is set
      subject
      [use_of_privilege]
      return

El token use_of_privilege se registra siempre que se utiliza un privilegio. Los tokens privileges se registran si el conjunto heredable o límite se cambia. El token process se registra si un ID se cambia. Ninguna opción de política es necesaria para que estos tokens se incluyan en el registro.

Cómo fusionar archivos de auditoría de la pista de auditoría

Mediante la fusión de los archivos de auditoría de todos los directorios de auditoría, puede analizar el contenido de toda la pista de auditoría.

Nota - Debido a que las indicaciones de hora en la pista de auditoría están en la hora universal coordinada (UTC), la fecha y la hora se deben traducir a la zona horaria actual para que tengan sentido. Tenga en cuenta este punto siempre que manipule estos archivos con los comandos de archivo estándar en lugar de utilizar el comando auditreduce.

Antes de empezar

Debe convertirse en un administrador con el perfil de derechos de revisión de auditoría asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Cree un sistema de archivos para almacenar los archivos de auditoría fusionados.
Para reducir la posibilidad de que se alcance el límite de espacio en disco, este sistema de archivos debe estar en otra zpool de los sistemas de archivos que creó en Cómo crear sistemas de archivos ZFS para archivos de auditoría para almacenar los archivos originales.
Fusione los registros de auditoría en la pista de auditoría.
Vaya al directorio para almacenar archivos de auditoría fusionados. Desde este directorio, fusione los registros de auditoría en un archivo con un sufijo con nombre. Todos los directorios de la pista de auditoría en el sistema local se fusionan y se almacenan en este directorio.
```
# cd audit-storage-directory
# auditreduce -Uppercase-option -O suffix
```
Las opciones en mayúscula del comando auditreduce manipulan los archivos en la pista de auditoría. Las opciones en mayúscula incluyen las siguientes:
-A

Selecciona todos los archivos en la pista de auditoría.

-C

Selecciona únicamente archivos completos.

-M

Selecciona los archivos con un sufijo determinado. El sufijo puede ser un nombre de máquina o puede ser un sufijo que haya especificado para un archivo de resumen.

-O

Crea un archivo de auditoría con indicaciones de hora de 14 caracteres para la hora de inicio y la hora de finalización, con el sufijo suffix en el directorio actual.

-R pathname

Especifica la lectura de archivos de auditoría en pathname, un directorio raíz de auditoría alternativo.

-S server

Especifica la lectura de archivos de auditoría del servidor especificado.

Para obtener la lista completa de opciones, consulte la página del comando man auditreduce(1M).

Ejemplo 28-29 Copia de archivos de auditoría a un archivo de resumen

En el ejemplo siguiente, un administrador que tiene asignado el perfil de derechos de administrador del sistema copia todos los archivos de la pista de auditoría en un archivo fusionado, en un sistema de archivos diferente. El sistema de archivos /var/audit/storage está en un disco separado del sistema de archivos /var/audit, el sistema de archivos raíz de auditoría.

$ cd /var/audit/storage
$ auditreduce -A -O All
$ ls /var/audit/storage/*All
20100827183214.20100827215318.All

En el siguiente ejemplo, sólo los archivos completos se copian de la pista de auditoría a un archivo fusionado. La ruta completa se especifica como el valor de la opción -0. El último elemento de la ruta, Complete, se utiliza como el sufijo.

$ auditreduce -C -O /var/audit/storage/Complete
$ ls /var/audit/storage/*Complete
20100827183214.20100827214217.Complete

En el siguiente ejemplo, si agrega la opción -D, se suprimen los archivos de auditoría originales.

$ auditreduce -C -O daily_sys1.1 -D sys1.1
$ ls *sys1.1
20100827183214.20100827214217.daily_sys1.1

Cómo seleccionar eventos de auditoría de la pista de auditoría

Puede filtrar registros de auditoría para examinarlos. Para obtener una lista completa de las opciones de filtrado, consulte la página del comando man auditreduce(1M).

Antes de empezar

Seleccione los tipos de registros que desee de la pista de auditoría o de un archivo de auditoría especificado.
```
auditreduce -lowercase-option argument [optional-file]
```
argument

Argumento específico que requiere una opción en minúscula. Por ejemplo, la opción -c requiere un argument de una clase de auditoría, como ua.

-d

Selecciona todos los eventos en una fecha determinada. El formato de fecha de argument es aaammdd. Otras opciones de fecha, -b y -a, seleccionan los eventos antes y después de una fecha determinada.

-u

Selecciona todos los eventos atribuibles a un usuario determinado. argument es un nombre de usuario. Otra opción de usuario, -e, selecciona todos los eventos atribuibles a un ID de usuario vigente.

-c

Selecciona todos los eventos de una clase de auditoría preseleccionada. argument es un nombre de clase de auditoría

-m

Selecciona todas las instancias de un evento de auditoría determinado. argument es un evento de auditoría.

-o

Selecciona por tipo de objeto. Utilice esta opción para seleccionar por archivo, grupo, responsable de archivo, FMRI, pid y otros tipos de objetos.

optional-file

Nombre de un archivo de auditoría.

Para obtener la lista completa de opciones, consulte la página del comando man auditreduce(1M).

Ejemplo 28-30 Combinación y reducción de archivos de auditoría

El comando auditreduce puede eliminar los registros menos interesantes a medida que combina los archivos de entrada. Por ejemplo, puede utilizar el comando auditreduce para retener únicamente los registros de inicio y cierre de sesión en los archivos de auditoría de más de un mes. Si necesita recuperar la pista de auditoría completa, puede recuperar la pista del medio de copia de seguridad.

# cd /var/audit/audit_summary
# auditreduce -O lo.summary -b 20100827 -c lo; compress *lo.summary

Ejemplo 28-31 Copia de los registros de auditoría de un usuario en un archivo de resumen

En este ejemplo, se fusionan los registros en la pista de auditoría que contienen el nombre de un usuario determinado. La opción -e busca el usuario vigente. La opción -u busca el usuario de inicio de sesión.

$ cd /var/audit/audit_summary
$ auditreduce -e tamiko -O tamiko

Puede buscar eventos específicos en este archivo. En el siguiente ejemplo, se verifica la hora en que el usuario inició y cerró sesión el 7 de septiembre de 2010, hora local. Sólo se verifican los archivos con el nombre del usuario como sufijo de archivo. La abreviatura de la fecha es aaaammdd.

# auditreduce -M tamiko -O tamikolo -d 20100907 -u tamiko -c lo

Ejemplo 28-32 Copia de registros seleccionados en un archivo único

En este ejemplo, los registros de inicio y cierre de sesión de un día determinado se seleccionan de la pista de auditoría. Los registros se fusionan en un archivo de destino. El archivo de destino se escribe en un sistema de archivos que no sea el sistema de archivos que contiene el directorio raíz de auditoría.

# auditreduce -c lo -d 20100827 -O /var/audit/audit_summary/logins
# ls /var/audit/audit_summary/*logins
/var/audit/audit_summary/20100827183936.20100827232326.logins

Cómo visualizar el contenido de los archivos de auditoría binarios

El comando praudit permite ver los contenidos de los archivos de auditoría binarios. Puede redireccionar la salida del comando auditreduce o puede leer un archivo de auditoría determinado. La opción -x es útil para el procesamiento posterior.

Antes de empezar

Utilice uno de los siguientes comandos praudit para producir la mejor salida según su propósito.
Los siguientes ejemplos muestran la salida de praudit para el mismo evento de auditoría. Las políticas de auditoría se configuraron para incluir el token sequence.
- El comando praudit -s muestra los registros de auditoría en formato corto, un token por línea. Utilice la opción -l para colocar cada registro en una línea.
```
$ auditreduce -c lo | praudit -s
header,69,2,AUE_screenlock,,mach1,2010-10-14 08:02:56.348 -07:00
subject,jdoe,root,staff,jdoe,staff,856,50036632,82 0 mach1
return,success,0
sequence,1298
```
- El comando praudit -r muestra los registros de auditoría en su formato básico, un token por línea. Utilice la opción -l para colocar cada registro en una línea.
```
$ auditreduce -c lo | praudit -r
21,69,2,6222,0x0000,10.132.136.45,1287070091,698391050
36,26700,0,10,26700,10,856,50036632,82 0 10.132.136.45
39,0,0
47,1298
```
- El comando praudit -x muestra los registros de auditoría en formato XML, un token por línea. Utilice la opción -l para colocar la salida XML para un registro en una línea. La siguiente lista se divide en dos líneas de salida para entrar en esta página impresa:
```
$ auditreduce -c lo | praudit -x
<record version="2" event="screenlock - unlock" host="mach1" 
     iso8601="2010-10-14 08:28:11.698 -07:00">
<subject audit-uid="jdoe" uid="root" gid="staff" ruid="jdoe
    rgid="staff" pid="856" sid="50036632" tid="82 0 mach1"/>
<return errval="success" retval="0"/>
<sequence seq-num="1298"/>
</record>
```

Ejemplo 28-33 Impresión de toda la pista de auditoría

Con una conducción al comando de impresión, la salida de toda la pista de auditoría pasa a la impresora. Por motivos de seguridad, la impresora tiene acceso limitado.

# auditreduce | praudit | lp -d example.protected.printer

Ejemplo 28-34 Visualización de un archivo de auditoría específico

En este ejemplo, se examina un archivo de inicio de sesión de resumen en la ventana de terminal.

# cd /var/audit/audit_summary/logins
# praudit 20100827183936.20100827232326.logins | more

Ejemplo 28-35 Paso de registros de auditoría a formato XML

En este ejemplo, los registros de auditoría se convierten a formato XML.

# praudit -x 20100827183214.20100827215318.logins > 20100827.logins.xml

El archivo XML se puede visualizar en un explorador. El contenido del archivo sólo puede ser operado por una secuencia de comandos para extraer la información relevante.

Ejemplo 28-36 Procesamiento de la salida de praudit con una secuencia de comandos

Es posible que quiera procesar la salida del comando praudit como líneas de texto. Por ejemplo, es posible que quiera seleccionar registros que el comando auditreduce no puede seleccionar. Puede utilizar una secuencia de comandos de shell sencilla para procesar la salida del comando praudit. La siguiente secuencia de comandos de ejemplo coloca un registro de auditoría en una línea, busca una cadena especificada por el usuario y devuelve el archivo de auditoría a su forma original.

#!/bin/sh
#
## This script takes an argument of a user-specified string.
#  The sed command prefixes the header tokens with Control-A
#  The first tr command puts the audit tokens for one record 
#  onto one line while preserving the line breaks as Control-A
#
praudit | sed -e '1,2d' -e '$s/^file.*$//' -e 's/^header/^aheader/' \\
| tr '\\012\\001' '\\002\\012' \\
| grep "$1" \\ Finds the user-specified string
| tr '\\002' '\\012' Restores the original newline breaks

Tenga en cuenta que ^a en la secuencia de comandos equivale a Control-A, no los dos caracteres ^ y a. El prefijo distingue el token header de la cadena header que podría aparecer como texto.

Errores más frecuentes

Un mensaje similar al siguiente indica que no tiene privilegios suficientes para usar el comando praudit:

praudit: Can't assign 20090408164827.20090408171614.sys1.1 to stdin.

Ejecute el comando praudit un shell de perfil. Debe convertirse en un administrador con el perfil de derechos de revisión de auditoría asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Cómo depurar un archivo de auditoría `not_terminated`

Cuando se producen interrupciones anómalas del sistema, el servicio de auditoría se cierra mientras su archivo de auditoría aún está abierto. O bien un sistema de archivos se vuelve inaccesible y hace que el sistema cambie a un nuevo sistema de archivos. En esos casos, un archivo de auditoría permanece con la cadena not_terminated como indicación de hora final, aunque el archivo ya no se utilice para los registros de auditoría. Utilice el comando auditreduce -O para otorgar al archivo la indicación de hora correcta.

Antes de empezar

Enumere los archivos con la cadena not_terminated en el sistema de archivos de auditoría según el orden de creación.
```
# ls -R1t audit-directory*/* | grep not_terminated
```
-R

Muestra los archivos en los subdirectorios.

-t

Muestra la lista de archivos desde el más reciente hasta el más antiguo.

-1

Muestra los archivos en una columna.
Depure el archivo not_terminated anterior.
Especifique el nombre del archivo anterior en el comando auditreduce -O.
```
# auditreduce -O system-name old-not-terminated-file
```

Elimine el archivo not_terminated anterior.

# rm system-name old-not-terminated-file

Ejemplo 28-37 Depuración de archivos de auditoría not_terminated cerrados

En el siguiente ejemplo, se encontraron archivos not_terminated, se renombraron y se eliminaron los originales.

ls -R1t */* | grep not_terminated
…/egret.1/20100908162220.not_terminated.egret
…/egret.1/20100827215359.not_terminated.egret
# cd */egret.1
# auditreduce -O egret 20100908162220.not_terminated.egret
# ls -1t
20100908162220.not_terminated.egret Current audit file
20100827230920.20100830000909.egret Cleaned up audit file
20100827215359.not_terminated.egret Input (old) audit file
# rm 20100827215359.not_terminated.egret
# ls -1t
20100908162220.not_terminated.egret Current audit file
20100827230920.20100830000909.egret Cleaned up audit file

La indicación de hora de inicio en el nuevo archivo refleja la hora del primer evento de auditoría en el archivo not_terminated. La indicación de hora final refleja la hora del último evento de auditoría en el archivo.

Cómo evitar el desbordamiento de la pista de auditoría

Si la política de seguridad requiere que todos los datos de auditoría se guarden, evite la pérdida de registros de auditoría.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Establezca un tamaño libre mínimo en el complemento audit_binfile.
Utilice el atributo p_minfree.
El alias de correo electrónico audit_warn envía una advertencia cuando el espacio en disco llega al tamaño libre mínimo. Consulte el Ejemplo 28-17.
Configure un programa para archivar con regularidad los archivos de auditoría.
Almacene los archivos de auditoría mediante una copia de los archivos en los medios sin conexión. También puede mover los archivos a un sistema de archivos de almacenamiento.
Si recopila registros de auditoría de texto con la utilidad syslog, archive los registros de texto. Para más información, consulte la página del comando man logadm(1M).
Establezca un programa para suprimir los archivos de auditoría almacenados del sistema de archivos de auditoría.
Guarde y almacene información auxiliar.
Archive la información que sea necesaria para interpretar los registros de auditoría junto con la pista de auditoría. Como mínimo, guarde los archivos passwd, group, y hosts. También podría archivar los archivos audit_event y audit_class.
Mantenga registros de qué archivos de auditoría se han archivado.
Almacene los medios archivados adecuadamente.
Reduzca la cantidad de capacidad del sistema de archivos que se necesita activando la compresión ZFS.
En un sistema de archivos ZFS que está dedicado a archivos de auditoría, la compresión reduce los archivos considerablemente. Para ver un ejemplo, consulte Cómo comprimir archivos de auditoría en un sistema de archivos dedicado.
Consulte también Interacciones entre propiedades de compresión, eliminación de datos duplicados y cifrado de ZFS de Administración de Oracle Solaris 11.1: sistemas de archivos ZFS.
Reduzca el volumen de los datos de auditoría que almacene mediante la creación de archivos de resumen.
Puede extraer archivos de resumen de la pista de auditoría mediante las opciones en el comando auditreduce. Los archivos de resumen contienen únicamente registros para tipos especificados de eventos de auditoría. Para extraer archivos de resumen, consulte el Ejemplo 28-30 y el Ejemplo 28-32.

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español)