audit_warn 脚本

如果 auditd 守护进程在写入审计记录时遇到异常情况，则 /etc/security/audit_warn 脚本可通知电子邮件别名。您可以针对自己的站点自定义此脚本，以便在出现可能需要手动干预的情况时发出警告。也可以指定如何自动处理这些情况。对于所有错误情况，audit_warn 脚本将带有 daemon.alert 这一严重级别的消息写入 syslog。您可以使用 syslog.conf 来配置 syslog 消息的控制台显示。audit_warn 脚本还可将消息发送到 audit_warn 电子邮件别名。应在启用审计功能时设置此别名。

当 auditd 守护进程检测到以下情况时，便会调用 audit_warn 脚本。此脚本向 audit_warn 别名发送电子邮件。

• 审计目录的空间使用率已超过了 minfree 值所允许的限制。minfree 值或软限制是指某个审计文件系统上可用空间的百分比。

  将使用字符串 soft 以及可用空间低于最小值的目录的名称调用 audit_warn 脚本。auditd 守护进程可自动切换到下一个适当的目录。此守护进程会一直将审计文件写入新的目录，直到此目录达到其 minfree 限制为止。然后，auditd 守护进程按顺序转至 audit_control 文件中列出的每个剩余目录。此守护进程将一直写入审计记录，直到每个目录达到其 minfree 限制为止。

• 所有审计目录均已达到 minfree 阈值。

  将使用字符串 allsoft 调用 audit_warn 脚本。系统会向控制台写入一条消息，同时还向 audit_warn 别名发送电子邮件。

  当 audit_control 文件中列出的所有审计目录均已达到其 minfree 阈值时，auditd 守护进程便会切换回第一个目录。此守护进程将一直写入审计记录，直到此目录完全变满为止。

• 审计目录已完全变满，没有剩余空间。

  将使用字符串 hard 以及目录名称调用 audit_warn 脚本。系统会向控制台写入一条消息，同时还向 audit_warn 别名发送电子邮件。

  auditd 守护进程可自动切换到下一个具有可用空间的适当目录。 auditd 守护进程将按顺序转至 audit_control 文件中列出的每个剩余目录。此守护进程将一直写入审计记录，直到每个目录变满为止。

• 所有审计目录已完全变满。将使用字符串 allhard 作为参数来调用 audit_warn 脚本。

  缺省情况下，系统会向控制台写入一条消息，同时还向 audit_warn 别名发送电子邮件。生成审计记录的进程将继续执行，但会对审计记录进行计数。将不会生成审计记录。有关如何处理此情况的示例，请参见示例 29–14 和如何防止审计跟踪溢出。

• 出现了内部错误。以下是可能出现的内部错误：

  • ebusy－另一个 auditd 守护进程已在运行

  • tmpfile－无法使用临时文件

  • postsigterm－在关闭审计功能期间收到信号

• 发现了 audit_control 文件的语法存在问题。缺省情况下，系统会向控制台发送一条消息，同时还会向 audit_warn 别名发送电子邮件。

有关详细信息，请参见 audit_warn(1M) 手册页。