Journaux d'audit

Les enregistrements d'audit sont collectés dans des journaux d'audit. Le service d'audit propose trois modes de sortie pour les enregistrements d'audit.

• Les journaux appelés fichiers d'audit stockent des enregistrements d'audit au format binaire. L'ensemble des fichiers d'audit d'un système ou d'un site constitue un enregistrement d'audit complet. L'enregistrement d'audit complet est appelé la piste d'audit. Ces journaux sont créés par le plug-in audit_binfile et peuvent être révisés par les commandes de postsélection praudit et auditreduce.

• Le plug-in audit_remote diffuse les enregistrements d'audit à un référentiel distant. Le référentiel est chargé de tenir à jour une piste d'audit et de fournir les outils de postsélection.

• L'utilitaire syslog collecte et stocke des résumés d'enregistrements d'audit au format texte. Un enregistrement syslog n'est pas complet. L'exemple suivant montre une entrée syslog pour un d'enregistrement d'audit login :

  Oct 10  10:10:20 example_system auditd: [ID 6472 audit.notice] \
  login - login ok session 4076172534 by root as root:other

Un site peut configurer l'audit de façon à collecter les enregistrements d'audit à tous les formats. Vous pouvez configurer les systèmes de votre site de manière à ce qu'ils utilisent le mode binaire localement, qu'ils envoient les fichiers binaires à un référentiel distant et qu'ils utilisent le mode syslog. Le tableau suivant compare les enregistrements d'audit binaires aux enregistrements d'audit syslog.

Table 1-1  Comparaison des enregistrements d'audit binaires, distants et syslog

Caractéristique Enregistrements binaires et distants Enregistrements syslog Protocole Binaire : écrit dans le système de fichiers Distant : diffuse vers un référentiel distant Utilise UDP pour la connexion à distance Type de données Binaire Texte Longueur d'enregistrement Aucune limite Jusqu'à 1024 caractères par enregistrement d'audit Emplacement Binaire : stocké dans un zpool sur le système Distant : référentiel distant Stockés dans un emplacement spécifié dans le fichier syslog.conf Configuration Binaire : définir l'attribut p_dir sur le plug-in audit_binfile. Distant : définir l'attribut p_hosts sur le plug-in audit_remote et activer le plug-in. Activer le plug-in audit_syslog et configurer le fichier syslog.conf Lecture Binaire : en général, en mode batch, sortie navigateur au format XML Distant : le référentiel dicte la procédure En temps réel ou recherché par des scripts que vous avez créés pour syslog Sortie en texte brut Exhaustivité Exhaustivité garantie et affichage dans l'ordre approprié Exhaustivité non garantie Horodatage Temps universel (UTC) Heure du système audité

Pour plus d'informations sur les plug-ins et les journaux d'audit, reportez-vous à :

• Page de manuel audit_binfile(5)

• Page de manuel audit_syslog(5)

• Page de manuel audit.log(4)

• Affectation de l'espace d'audit pour la piste d'audit

• Configuration des journaux d'audit syslog

A propos des enregistrements binaires

Des enregistrements binaires offrent la plus grande sécurité et la meilleure couverture. La sortie binaire répond aux exigences de certifications de sécurité, telles que les exigences d'audit Critères communs.

Le plug-in audit_binfile écrit les enregistrements dans un système de fichiers protégé contre le vol. Sur un seul système, tous les enregistrements binaires sont collectés et affichés dans l'ordre. L'horodatage UTC dans les journaux binaires permet une comparaison exacte lorsque des systèmes d'une piste d'audit sont répartis sur différents fuseaux horaires. La commande praudit -x vous permet de visualiser les enregistrements dans un navigateur au format XML. Vous pouvez également utiliser des scripts pour analyser la sortie XML.

Le plug-in audit_remote écrit les enregistrements d'audit dans un référentiel distant. Le référentiel gère le stockage et la postsélection.

A propos des enregistrements d'audit syslog

En revanche, les enregistrements syslog peuvent offrir une plus grande commodité et flexibilité. Par exemple, vous pouvez collecter les données syslog à partir de plusieurs sources. En outre, lorsque vous surveillez des événements audit.notice dans le fichier syslog.conf, l'utilitaire syslog consigne un résumé des enregistrements d'audit avec l'horodatage actuel. Vous pouvez utiliser les mêmes outils d'analyse et de gestion que vous avez développés pour les messages syslog à partir de plusieurs sources, y compris les stations de travail, serveurs, pare-feux et routeurs. Les enregistrements peuvent être affichés en temps réel et stockés sur un système distant.

En utilisant syslog.conf pour stocker des enregistrements d'audit à distance, vous protégez les données du journal contre toute altération ou suppression malveillante. Pensez néanmoins à fournir les inconvénients suivants pour le mode syslog.

• Ceux-ci sont susceptibles de faire l'objet d'attaques réseau, telles que le déni de service et l'usurpation d'adresses source.

• En outre, le protocole UDP peut déposer des paquets ou les distribuer dans le désordre.

• La limite de 1024 caractères autorisés pour les entrées syslog peut faire que des enregistrements d'audit soient tronqués dans le journal.

• Sur un système unique, tous les enregistrements d'audit ne sont pas collectés et peuvent ne pas être affichés dans l'ordre.

• Chaque enregistrement d'audit est indiqué avec la date et l'heure du système local. Par conséquent, vous ne pouvez pas vous fier à l'horodatage pour créer une piste d'audit pour plusieurs systèmes.