감사 레코드는 감사 로그에 수집됩니다. 감사 서비스는 감사 레코드에 대한 세 가지 출력 모드를 제공합니다.
감사 파일이라는 로그는 감사 레코드를 이진 형식으로 저장합니다. 시스템 또는 사이트의 감사 파일 세트는 완전한 감사 레코드를 제공합니다. 완전한 감사 레코드를 감사 추적이라고 합니다. 이러한 로그는 audit_binfile 플러그인으로 만들어지고, praudit 및 auditreduce 사후 선택 명령으로 검토할 수 있습니다.
audit_remote 플러그인은 감사 레코드를 원격 저장소로 스트리밍합니다. 저장소에서는 감사 추적을 유지 관리하고 사후 선택 도구를 제공합니다.
syslog 유틸리티는 감사 레코드의 텍스트 요약을 수집하고 저장합니다. syslog 레코드는 안전하지 않습니다. 다음 예는 login 감사 레코드에 대한 syslog 항목을 보여줍니다.
Oct 10 10:10:20 example_system auditd: [ID 6472 audit.notice] \ login - login ok session 4076172534 by root as root:other
사이트는 모든 형식으로 감사 레코드를 수집하도록 감사를 구성할 수 있습니다. 이진 모드를 로컬에서 사용하거나 이진 파일을 원격 저장소로 보내거나 syslog 모드를 사용하도록 사이트의 시스템을 구성할 수 있습니다. 다음 표는 이진 감사 레코드를 syslog 감사 레코드와 비교한 것입니다.
|
플러그인 및 감사 로그에 대한 자세한 내용은 다음을 참조하십시오.
audit_binfile(5) 매뉴얼 페이지
audit_syslog(5) 매뉴얼 페이지
audit.log(4) 매뉴얼 페이지
이진 레코드가 가장 뛰어난 보안과 완전성을 제공합니다. 이진 출력은 Common Criteria 감사 요구 사항과 같은 보안 자격 증명 요구 사항을 충족합니다.
audit_binfile 플러그인은 스누핑으로부터 보호되는 파일 시스템에 레코드를 기록합니다. 단일 시스템에서 모든 이진 레코드는 순서대로 수집되고 표시됩니다. 한 감사 추적의 시스템이 여러 시간대에 분포되어 있는 경우 이진 로그의 UTC 시간 기록을 사용하여 정확한 비교가 가능합니다. praudit -x 명령을 사용하여 브라우저에서 XML로 레코드를 볼 수 있습니다. 또한 스크립트를 사용하여 XML 출력을 구문 분석할 수 있습니다.
audit_remote 플러그인은 원격 저장소에 레코드를 기록합니다. 저장소는 저장 및 사후 선택을 처리합니다.
반면, syslog 레코드는 높은 편의성과 유연성을 제공할 수 있습니다. 예를 들어, 다양한 소스에서 syslog 데이터를 수집할 수 있습니다. 또한 syslog.conf 파일에서 audit.notice 이벤트를 모니터할 때 syslog 유틸리티는 현재 시간 기록과 함께 감사 레코드 요약을 기록합니다. 워크스테이션, 서버, 방화벽 및 라우터를 포함한 다양한 소스에서 syslog 메시지에 대해 개발한 동일한 관리 및 분석 도구를 사용할 수 있습니다. 레코드는 실시간으로 보거나 원격 시스템에 저장할 수 있습니다.
syslog.conf를 사용하여 감사 레코드를 원격으로 저장하면 공격자가 로그 데이터를 변경하거나 삭제하지 못하도록 보호할 수 있습니다. 하지만 syslog 모드에 대한 다음과 같은 결점을 고려해야 합니다.
서비스 거부 및 스푸핑된 소스 주소와 같은 네트워크 공격에 레코드가 취약해질 수 있습니다.
UDP 프로토콜은 패킷을 삭제하거나 패킷을 순서 없이 전달할 수 있습니다.
syslog 항목에 대한 1024자 제한으로 인해 로그에서 일부 감사 레코드가 잘릴 수 있습니다.
단일 시스템에서는 일부 감사 레코드가 수집되지 않고 순서대로 표시되지 않을 수 있습니다.
각 감사 레코드는 로컬 시스템의 날짜 및 시간으로 기록됩니다. 따라서 여러 시스템에 대해 감사 추적을 구성할 때 시간 기록에 의존할 수 없습니다.