감사 도구

이 절에서는 감사 기능 관리를 위한 주 유틸리티 프로그램과 스크립트에 대해서 설명합니다. 요약하여 말하자면, 감사 기능은 시스템이 설치되는 동안 활성화됩니다. /etc/init.d/audit 스크립트와 /etc/system파일을 편집하여 감사 기능을 활성화하거나 비활성화할 수 있습니다. auditd 명령은 감사 기능이 활성화된 경우 감사 대몬을 시작합니다. audit 명령은 대몬을 정지하며, 이때 이 명령으로 감사 레코드 기록은 중단되지만 감사 레코드의 수집은 중단되지 않습니다. 또한 audit 명령은 대몬을 제어하기 위한 다른 옵션도 제공합니다. audit_startup 스크립트를 사용하면 시스템이 시작하는 동안 감사 매개변수를 구성할 수 있습니다. audit_warn 스크립트를 사용하면 감사 문제가 발생할 경우 나타나는 경고와 조치를 지정할 수 있습니다. praudit 명령으로 감사 레코드를 볼 수 있으며, auditreduce는 레코드를 선택할 때 편리하도록 감사 내역 파일을 병합하고, auditstat는 감사 통계를 표시합니다.

audit

audit(1M) 명령은 현재 감사 대몬을 제어하는 인터페이스입니다. 감사 대몬(auditd)은 audit_control 파일 정보를 사용하여 감사 추적 파일의 생성과 위치를 제어합니다. audit 명령을 사용하면 다음과 같은 작업을 할 수 있습니다.

• audit_control 파일에서 감사 저장 디렉토리 목록의 첫 번째 디렉토리를 재설정할 수 있습니다.

• 감사 대몬에서 마지막으로 읽은 audit_control 파일에 지정된 감사 디렉토리에서 새 감사 파일을 열 수 있습니다.

• 감사 추적 파일을 닫고 기록을 중단하되, 감사 레크드의 수집은 중단하지 않도록 감사 대몬에 신호를 보낼 수 있습니다.

auditconfig

auditconfig(1M) 명령은 여러 가지 감사 정책 설정을 포함하여 커널 감사 매개변수를 획득하고 설정하는 명령줄 인터페이스를 제공합니다.

audit_startup

audit_startup(1M) 스크립트는 감사 대몬이 시작되기 전에 감사 하위 시스템을 초기화합니다. 현재 이 스크립트는 시스템 기본 정책을 설정하고 초기 이벤트 대 클래스 매핑을 다운로드하는 여러 개의 auditconfig 명령으로 구성되어 있습니다. 보안 관리자는 응용프로그램 관리자에서 system_admin 폴더를 열어서 audit_startup에 액세스할 수 있습니다. 사이트에 맞도록 이 명령을 구성할 수 있습니다.

audit_warn

audit_warn(1M) 스크립트는 감사 대몬으로부터 받은 경고 및 오류 메시지를 처리합니다. 문제가 발생하면 감사 대몬이 해당 인수와 함께 audit_warn을 호출합니다. 옵션 인수는 오류 유형을 지정합니다. aliases(4)에서 audit_warn이라는 우편 별명을 정의하면, audit_warn 상황이 발생할 경우에 알림 메시지를 받을 우편 수신인 목록을 지정할 수 있습니다.

praudit

praudit(1M) 명령은 감사 추적 파일의 내용을 읽을 수 있는 형식으로 출력합니다.

auditreduce

auditreduce(1M) 명령을 사용하면 하나 이상의 시스템으로부터 받은 감사 추적 파일의 레코드를 선택하거나 병합할 수 있습니다. merge 함수는 하나 이상의 입력 감사 추적 파일의 감사 레코드를 하나의 출력 파일로 병합합니다. select 함수를 사용하면 레코드의 내용과 관련된 기준에 따라 감사 레코드를 선택할 수 있습니다. praudit 명령을 사용해서 merge 함수와 select 함수를 조합하면 사이트에 필요한 사용자 정의 보고서를 작성할 수 있습니다.

auditstat

auditstat(1M) 명령은 처리된 감사 레코드 수 및 커널 감사 모듈에 사용되는 메모리 양과 같은 커널 감사 통계를 표시합니다.