由 ASET 任务生成的所有报告文件都存储在 /usr/aset/reports 目录下的子目录中。本节介绍 /usr/aset/reports 目录的结构,并提供管理报告文件的指南。
ASET 将报告文件放在子目录中,这些子目录的名称可反映报告生成时间和日期。通过此约定,可以按顺序跟踪记录,这些记录用于在系统状态随 ASET 执行的不同而变化的过程中记载系统状态。可以监视和比较这些报告以确定系统安全的可靠性。
下图显示了 reports 目录结构的示例。
此示例说明了两个报告子目录。
0124_01:00
0125_01:00
子目录的名称指明了报告的生成日期和时间。每个报告子目录名称都具有以下格式:
monthdate_hour:minute |
month、date、hour 和 minute 都是两位数字。例如,0125_01:00 表示 1 月 25 日凌晨 1 点。
这两个报告子目录都包含执行一次 ASET 所生成的报告集合。
latest 目录是始终指向包含最新报告的子目录的符号链接。因此,要查看 ASET 生成的最新报告,可以转至 /usr/aset/reports/latest 目录。此目录中包含 ASET 在最近一次执行期间所执行的每项任务的报告文件。
每个报告文件都以生成此报告的任务命名。下表列出了各项任务及其报告。
表 7–1 ASET 任务和生成的报告
任务 |
报告 |
---|---|
系统文件权限调优 (tune) |
tune.rpt |
系统文件检查 (cklist) |
cklist.rpt |
用户和组检查 (usrgrp) |
usrgrp.rpt |
系统配置文件检查 (sysconf) |
sysconf.rpt |
环境变量检查 (env) |
env.rpt |
eeprom 检查 (eeprom) |
eeprom.rpt |
防火墙设置 (firewall) |
firewall.rpt |
每个报告文件中,消息括在开始标题行和结束标题行中。有时,任务会提前结束。例如,意外删除或损坏 ASET 的组件时,任务便会提前结束。在这类情况下,报告文件通常会在结尾附近包含一条消息,指明提前终止的原因。
*** Begin User and Group Checking *** Checking /etc/passwd ... Warning! Password file, line 10, no passwd :sync::1:1::/:/bin/sync ..end user check; starting group check ... Checking /etc/group... *** End User And group Checking *** |
初次运行或重新配置 ASET 之后,应该严密地检查报告文件。重新配置包括修改 asetenv 文件或 masters 子目录中的主文件,或者更改运行 ASET 的安全级别。
报告会记录在重新配置 ASET 时引起的所有错误。通过严密地查看报告,可以在出现问题时做出反应并解决问题。
在对报告文件监视一段时间(其间没有进行配置更改或系统更新)之后,您可能会发现报告的内容开始趋于稳定。如果报告包含的意外信息很少,可使用 diff 实用程序来比较这些报告。