Gestion des enregistrements d'audit

En gérant la piste d'audit, vous pouvez surveiller les actions des utilisateurs de votre réseau. L'audit peut générer de grandes quantités de données. Les tâches suivantes vous indiquent comment travailler avec toutes ces données.

Affichage des formats d'enregistrement d'audit

Pour écrire des scripts qui peuvent trouver les données d'audit que vous voulez, vous avez besoin de connaître l'ordre des jetons dans un événement d'audit. La commande bsmrecord affiche le nombre d'événements d'audit, la classe d'audit, le masque de sélection et le format d'enregistrement d'un événement d'audit.

• Placez le format de tous les enregistrements d'événements d'audit dans un fichier HTML.

  L'option -a répertorie tous les formats d'enregistrement d'événements d'audit. L'option -h place la liste au format HTML qui peut être affiché dans un navigateur.

  % bsmrecord -a -h > audit.events.html

  Lorsque vous affichez le fichier *html dans un navigateur, utilisez l'outil de recherche du navigateur pour rechercher des enregistrements spécifiques.

  Pour plus d'informations, reportez-vous à la page de manuel bsmrecord(1M).

Exemple 30-26 Affichage des formats d'enregistrement d'audit d'un programme

Dans cet exemple, le format de tous les enregistrements d'audit sont générés par le programme login est affiché. Les programmes login incluent rlogin, telnet, newgrp, ainsi que la connexion de rôle de la console de gestion Solaris, et Oracle Solaris Secure Shell.

% bsmrecord -p login
login: logout
  program     various              See login(1)
  event ID    6153                 AUE_logout
…

newgrp
  program     newgrp               See newgrp login
  event ID    6212                 AUE_newgrp_login
…

rlogin
  program     /usr/sbin/login      See login(1) - rlogin
  event ID    6155                 AUE_rlogin
…

SMC: role login
  program     SMC server           See role login
  event ID    6173                 AUE_role_login
…

/usr/lib/ssh/sshd
  program     /usr/lib/ssh/sshd    See login - ssh
  event ID    6172                 AUE_ssh
…

telnet login
  program     /usr/sbin/login      See login(1) - telnet
  event ID    6154                 AUE_telnet
  …

Exemple 30-27 Affichage des formats d'enregistrement d'audit d'une classe d'audit

Dans cet exemple, le format de tous les enregistrements d'audit dans la classe fd est affiché.

% bsmrecord -c fd

rmdir
  system call rmdir                See rmdir(2)
  event ID    48                   AUE_RMDIR
  class       fd                   (0x00000020)
      header
      path
      [attribute]
      subject
      [use_of_privilege]
      return

unlink
  system call unlink               See unlink(2)
  event ID    6                    AUE_UNLINK
  …

unlinkat
  system call unlinkat             See openat(2)
  event ID    286                  AUE_UNLINKAT
  …

Fusion des fichiers d'audit de la piste d'audit

En fusionnant tous les fichiers d'audit de tous les répertoires d'audit, vous pouvez analyser le contenu de la piste d'audit entière. La commande auditreduce fusionne tous les enregistrements à partir de ses fichiers d'entrée dans un seul fichier de sortie. Les fichiers d'entrée peuvent ensuite être supprimés. Lorsque le fichier de sortie est placé dans un répertoire nommé /etc/security/audit/server-name /files, la commande auditreduce peut trouver le fichier de sortie sans spécifiant le chemin d'accès complet.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil Audit Review.

   Ce profil fait partie des prérogatives de l'administrateur système. Vous pouvez également créer un autre rôle, qui inclut le profil Audit Review. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuration de RBAC (liste des tâches).

2. Créez un répertoire pour stocker les fichiers d'audit fusionnés.

   # mkdir audit-trail-directory

3. Limitez l'accès au répertoire.

   # chmod 700 audit-trail-directory
   # ls -la audit-trail-directory
   drwx------   3 root     sys          512 May 12 11:47 .
   drwxr-xr-x   4 root     sys         1024 May 12 12:47 ..

4. Fusionnez les enregistrements d'audit de la piste d'audit.

   Modifiez les répertoires vers audit-trail-directory et fusionnez les enregistrements d'audit dans un fichier avec un suffixe nommé. Tous les répertoires de la liste dir, dans le fichier audit_control du système local, sont fusionnés.

   # cd audit-trail-directory
   # auditreduce -Uppercase-option -O suffix

   Les options majuscules de la commande auditreduce permettent de manipuler les fichiers dans la piste d'audit. Les options majuscules sont les suivantes :

   -A

   Sélectionne tous les fichiers de la piste d'audit.

   -C

   Sélectionne les fichiers complets uniquement. Cette option ignore les fichiers avec le suffixe not_terminated.

   -M

   Sélectionne les fichiers avec un suffixe donné. Le suffixe peut être un nom de machine ou un suffixe que vous avez spécifié pour un fichier résumé.

   -O

   Crée un fichier d'audit avec des horodatages de 14 caractères pour l'heure de début et l'heure de fin, avec le suffixe suffix dans le répertoire en cours.

Exemple 30-28 Copie des fichiers d'audit pour un fichier résumé

Dans l'exemple suivant, le rôle d'administrateur système, sysadmin, copie tous les fichiers de la piste d'audit dans un fichier fusionné.

$ whoami
sysadmin
$ mkdir /var/audit/audit_summary.dir
$ chmod 700 /var/audit/audit_summary.dir
$ cd /var/audit/audit_summary.dir
$ auditreduce -A -O All
$ ls *All
20100827183214.20100827215318.All

Dans l'exemple suivant, seuls les fichiers sont copiés à partir de la piste d'audit dans un fichier fusionné.

$ cd /var/audit/audit_summary.dir
$ auditreduce -C -O Complete
$ ls *Complete
20100827183214.20100827214217.Complete

Dans l'exemple suivant, seuls les fichiers complets sont copiés à partir de la machine example1 dans un fichier fusionné.

$ cd /var/audit/audit_summary.dir
$ auditreduce -M example1 -O example1summ
$ ls *summ
20100827183214.20100827214217.example1summ

Exemple 30-29 Déplacement de fichiers d'audit dans un fichier résumé

L'option -D de la commande auditreduce supprime un fichier d'audit lorsque vous la copiez dans un autre emplacement. Dans l'exemple suivant, les fichiers d'audit complets d'un système sont copiés dans le répertoire résumé pour être examinés à une date ultérieure.

$ cd /var/audit/audit_summary.dir
$ auditreduce -C -O daily_example1 -D example1
$ ls *example1
20100827183214.20100827214217.daily_example1

Les fichiers d'audit du système example1, entrées du fichier *daily_example1, sont supprimés lorsque cette commande se termine.

Sélection des événements d'audit de la piste d'audit

Vous pouvez filtrer les enregistrements d'audit pour les examiner. Pour obtenir la liste complète des options de filtrage, reportez-vous à la page de manuel auditreduce(1M).

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil Audit Review.

   Ce profil fait partie des prérogatives de l'administrateur système. Vous pouvez également créer un autre rôle, qui inclut le profil Audit Review. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuration de RBAC (liste des tâches).

2. Sélectionnez les types d'enregistrements que vous souhaitez dans la piste d'audit, ou à partir d'un fichier d'audit spécifié.

   auditreduce -lowercase-option argument [optional-file]

   argument

   Argument spécifique qui nécessite une option minuscule. Par exemple, l'option -c exige un argument d'une classe d'audit, tel que ua.

   -d

   Sélectionne tous les événements à une date donnée. Le format de date pour argument est aaaammjj. D'autres options de date, -b et -a, sélectionnent les événements avant et après une date particulière.

   -u

   Sélectionne tous les événements attribuables à un utilisateur particulier. L'argument est un nom d'utilisateur. Une autre option utilisateur, - e, sélectionne tous les événements attribuables à un ID d'utilisateur effectif.

   -c

   Sélectionne tous les événements d'une classe d'audit présélectionnée. L'argument est un nom de classe d'audit.

   -m

   Sélectionne toutes les instances d'un événement d'audit. L'argument est un événement d'audit.

   optional-file

   Nom d'un fichier d'audit.

Exemple 30-30 Association et réduction des fichiers d'audit

La commande auditreduce peut éliminer les enregistrements moins intéressants car elle combine les fichiers d'entrée. Par exemple, vous pouvez utiliser la commande auditreduce pour conserver uniquement les enregistrements de connexion et déconnexion dans les fichiers d'audit qui ont plus d'un mois. Si vous avez besoin de récupérer la piste d'audit complète, vous pouvez le faire à partir d'un support de sauvegarde.

# cd /var/audit/audit_summary.dir
# auditreduce -O lo.summary -b 20100827 -c lo; compress *lo.summary

Exemple 30-31 Copie des enregistrements d'audit na dans un fichier résumé

Dans cet exemple, tous les enregistrements d'événements d'audit non attribuables dans la piste d'audit sont regroupés dans un seul fichier.

$ whoami
sysadmin
$ cd /var/audit/audit_summary.dir
$ auditreduce -c na -O nasumm
$ ls *nasumm
20100827183214.20100827215318.nasumm

Le fichier d'audit fusionné nasumm est horodaté avec la date de début et la date de fin des enregistrements na.

Exemple 30-32 Recherche d'événements d'audit dans un fichier d'audit spécifié

Vous pouvez sélectionner les fichiers d'audit manuellement pour rechercher uniquement l'ensemble de fichiers nommé. Par exemple, vous pouvez poursuivre le traitement du fichier *nasumm de l'exemple précédent pour trouver les événements de démarrage système. Pour ce faire, vous devez spécifier le nom du fichier comme argument final pour la commande auditreduce.

$ auditreduce -m 113 -O systemboot 20100827183214.20100827215318.nasumm
20100827183214.20100827183214.systemboot

Le fichier 20100827183214.20100827183214.systemboot ne contient que les événements d'audit du démarrage système.

Exemple 30-33 Copie des enregistrements d'audit d'un utilisateur dans un fichier résumé

Dans cet exemple, les enregistrements de la piste d'audit qui contiennent le nom d'un utilisateur particulier sont fusionnés. L'option -e trouve l'utilisateur effectif. L'option -u trouve l'utilisateur d'audit.

$ cd /var/audit/audit_summary.dir
$ auditreduce -e tamiko -O tamiko

Vous pouvez rechercher des événements spécifiques dans ce fichier. L'exemple suivant permet de vérifier le moment où l'utilisateur s'est connecté et déconnecté le 7 septembre 2010, votre heure. Seuls les fichiers avec le nom d'utilisateur en tant que suffixe de fichier sont vérifiés. La forme abrégée de la date est aaaammjj.

# auditreduce -M tamiko -O tamikolo -d 20100907 -u tamiko -c lo

Exemple 30-34 Copie des enregistrements sélectionnés dans un seul fichier

Dans cet exemple, les messages de connexion et déconnexion pour un jour particulier sont sélectionnés dans la piste d'audit. Les messages sont fusionnés dans un fichier cible. Le fichier cible est écrit dans un répertoire autre que le répertoire root d'audit.

# auditreduce -c lo -d 20100827 -O /var/audit/audit_summary.dir/logins
# ls /var/audit/audit_summary.dir/*logins
/var/audit/audit_summary.dir/20100827183936.20100827232326.logins

Affichage du contenu des fichiers d'audit binaires

La commande praudit vous permet de visualiser le contenu de fichiers d'audit binaires. Vous pouvez envoyez la sortie de la commande auditreduce ou vous pouvez lire un fichier d'audit particulier. L'option -x est utile pour un traitement supplémentaire.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil Audit Review.

   Ce profil fait partie des prérogatives de l'administrateur système. Vous pouvez également créer un autre rôle, qui inclut le profil Audit Review. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuration de RBAC (liste des tâches).

2. Utilisez l'une des commandes praudit suivantes afin de produire la sortie la mieux adaptée à vos besoins.

   Les exemples suivants représentent la sortie praudit depuis le même événement d'audit. La stratégie d'audit a été définie de façon à inclure les jetons sequence et trailer.

   • La commande praudit -s affiche les enregistrements d'audit dans un format court, un jeton par ligne. Utilisez l'option -l pour placer chaque enregistrement sur une seule ligne.

     $ auditreduce -c lo | praudit -s
     header,101,2,AUE_rlogin,,example1,2010-10-13 11:23:31.050 -07:00
     subject,jdoe,jdoe,staff,jdoe,staff,749,749,195 1234 server1
     text,successful login 
     return,success,0 
     sequence,1298

   • La commande praudit -r affiche les enregistrements d'audit au format brut, un jeton par ligne. Utilisez l'option -l pour placer chaque enregistrement sur une seule ligne.

     $ auditreduce -c lo | praudit -r
     21,101,2,6155,0x0000,192.168.60.83,1062021202,64408258
     36,2026700,2026700,10,2026700,10,749,749,195 1234 192.168.60.17
     40,successful login
     39,0,0
     47,1298

   • La commande praudit -x affiche les enregistrements d'audit au format XML, un jeton par ligne. Utilisez l'option -l pour placer la sortie XML pour un seul enregistrement sur une seule ligne.

     $ auditreduce -c lo | praudit -x
     <record version="2" event="login - rlogin" host="example1" 
     time="Wed Aug 27 14:53:22 PDT 2010" msec="64">
     <subject audit-uid="jdoe" uid="jdoe" gid="staff" ruid="jdoe" 
     rgid="staff" pid="749" sid="749" tid="195 1234 server1"/>
     <text>successful login</text>
     <return errval="success" retval="0"/>
     <sequence seq-num="1298"/>
     
     </record>

Exemple 30-35 Impression de la piste d'audit complète

À l'aide d'un tube sur la commande lp, la sortie de la piste d'audit complète est dirigée vers l'imprimante. L'imprimante doit avoir un accès limité.

# auditreduce | praudit | lp -d example.protected.printer

Exemple 30-36 Affichage d'un fichier d'audit spécifique

Dans cet exemple, un fichier de connexion résumé est examiné dans une fenêtre de terminal.

# cd /var/audit/audit_summary.dir/logins
# praudit 20100827183936.20100827232326.logins | more

Exemple 30-37 Création d'enregistrements d'audit au format XML

Dans cet exemple, les enregistrements d'audit sont convertis au format XML.

# praudit -x 20100827183214.20100827215318.logins > 20100827.logins.xml

Le fichier *xml peut être affiché dans un navigateur. Le contenu du fichier peut être exécuté par un script pour extraire les informations pertinentes.

Erreurs fréquentes

Un message semblable à celui-ci indique que vous ne disposez pas de tous les privilèges nécessaires pour utiliser la commande praudit :

praudit: Can't assign 20090408164827.20090408171614.example1 to stdin.

Nettoyage d'un fichier d'audit not_terminated

Il peut arriver qu'un démon d'audit s'arrête alors que son fichier d'audit est toujours ouvert. Ou, un serveur devient inaccessible et force la machine à passer à un nouveau serveur. Dans de tels cas, un fichier d'audit conserve la chaîne not_terminated comme horodatage de fin, même si le fichier n'est plus utilisé pour les enregistrements d'audit. Utilisez la commande auditreduce -O pour donner au fichier le bon horodatage.

1. Affichez la liste des fichiers avec la chaîne not_terminated sur votre système de fichiers d'audit dans l'ordre de leur création.

   # ls -R1t audit-directory*/files/* | grep not_terminated

   -R

   Répertorie les fichiers dans des sous-répertoires.

   -t

   Répertorie les fichiers du plus récent au plus ancien.

   -1

   Affiche la liste des fichiers dans une seule colonne.

2. Nettoyez l'ancien fichier not_terminated.

   Spécifiez le nom de l'ancien fichier de la commande auditreduce -O.

   # auditreduce -O system-name old-not-terminated-file

3. Supprimez l'ancien fichier not_terminated.

   # rm system-name old-not-terminated-file

Exemple 30-38 Nettoyage de fichiers d'audit not_terminated fermés

Dans l'exemple suivant, les fichiers not_terminated sont trouvés, renommés, puis les originaux sont supprimés.

ls -R1t */files/* | grep not_terminated
…/egret.1/20100908162220.not_terminated.egret
…/egret.1/20100827215359.not_terminated.egret
# cd */files/egret.1
# auditreduce -O egret 20100908162220.not_terminated.egret
# ls -1t
20100908162220.not_terminated.egret Current audit file
20100827230920.20100830000909.egret Input (old) audit file
20100827215359.not_terminated.egret
# rm 20100827215359.not_terminated.egret
# ls -1t
20100908162220.not_terminated.egret Current audit file
20100827230920.20100830000909.egret Cleaned up audit file

L'horodatage de début sur le nouveau fichier reflète l'heure du premier événement d'audit dans le fichier not_terminated. L'horodatage de fin reflète l'heure du dernier événement d'audit dans le fichier.

Contrôle du dépassement de la piste d'audit

Si votre stratégie de sécurité exige que toutes les données d'audit soient enregistrées, procédez comme suit :

1. Planifiez l'archivage régulier des fichiers d'audit.

   Archivez les fichiers d'audit en sauvegardant les fichiers sur un support hors ligne. Vous pouvez également déplacer les fichiers vers un système de fichiers d'archive.

   Si vous collectez des journaux d'audit au format texte avec l'utilitaire syslog, archivez les journaux texte. Pour plus d'informations, reportez-vous à la page de manuel logadm(1M).

2. Planifiez la suppression des fichiers d'audit archivés dans le système de fichiers d'audit.
3. Enregistrez et stockez les informations auxiliaires.

   Archivez les informations nécessaires pour interpréter les enregistrements d'audit ainsi que de la piste d'audit.

4. Consignez les fichiers d'audit qui ont été archivés.
5. Stockez le support d'archivage correctement.
6. Réduisez le volume des données d'audit que vous pouvez stocker en créant des fichiers résumé.

   Vous pouvez extraire des fichiers résumés de la piste d'audit à l'aide d'options de la commande auditreduce. Les fichiers résumés contiennent uniquement les enregistrements de types spécifiés d'événements d'audit. Pour extraire les fichiers résumés, reportez-vous à l'Exemple 30-30 et l'Exemple 30-34.