如果 auditd 守护进程在写入审计记录时遇到异常情况,则 /etc/security/audit_warn 脚本可通知电子邮件别名。您可以针对自己的站点自定义此脚本,以便在出现可能需要手动干预的情况时发出警告。也可以指定如何自动处理这些情况。对于所有错误情况,audit_warn 脚本将带有 daemon.alert 这一严重级别的消息写入 syslog。您可以使用 syslog.conf 来配置 syslog 消息的控制台显示。audit_warn 脚本还可将消息发送到 audit_warn 电子邮件别名。应在启用审计功能时设置此别名。
当 auditd 守护进程检测到以下情况时,便会调用 audit_warn 脚本。此脚本向 audit_warn 别名发送电子邮件。
审计目录的空间使用率已超过了 minfree 值所允许的限制。minfree 值或软限制是指某个审计文件系统上可用空间的百分比。
将使用字符串 soft 以及可用空间低于最小值的目录的名称调用 audit_warn 脚本。auditd 守护进程可自动切换到下一个适当的目录。此守护进程会一直将审计文件写入新的目录,直到此目录达到其 minfree 限制为止。然后,auditd 守护进程按顺序转至 audit_control 文件中列出的每个剩余目录。此守护进程将一直写入审计记录,直到每个目录达到其 minfree 限制为止。
将使用字符串 allsoft 调用 audit_warn 脚本。系统会向控制台写入一条消息,同时还向 audit_warn 别名发送电子邮件。
当 audit_control 文件中列出的所有审计目录均已达到其 minfree 阈值时,auditd 守护进程便会切换回第一个目录。此守护进程将一直写入审计记录,直到此目录完全变满为止。
将使用字符串 hard 以及目录名称调用 audit_warn 脚本。系统会向控制台写入一条消息,同时还向 audit_warn 别名发送电子邮件。
auditd 守护进程可自动切换到下一个具有可用空间的适当目录。 auditd 守护进程将按顺序转至 audit_control 文件中列出的每个剩余目录。此守护进程将一直写入审计记录,直到每个目录变满为止。
所有审计目录已完全变满。将使用字符串 allhard 作为参数来调用 audit_warn 脚本。
缺省情况下,系统会向控制台写入一条消息,同时还向 audit_warn 别名发送电子邮件。生成审计记录的进程将继续执行,但会对审计记录进行计数。将不会生成审计记录。有关如何处理此情况的示例,请参见示例 29–14 和如何防止审计跟踪溢出。
发现了 audit_control 文件的语法存在问题。缺省情况下,系统会向控制台发送一条消息,同时还会向 audit_warn 别名发送电子邮件。
有关详细信息,请参见 audit_warn(1M) 手册页。