audit_warn - 审计服务警告脚本
/etc/security/audit_warn option [arguments]
audit_warn 脚本用于处理审计服务的警告和错误消息。例如,在启动、配置、处理或关闭期间遇到问题时,审计服务会使用适当的参数调用 audit_warn。option 参数指定问题的类型。
系统管理员可以指定发生 audit_warn 情况时要通知的邮件接收者的列表,方法是在 aliases(5) 中定义名为 audit_warn 的邮件别名。构成 audit_warn 别名的用户通常是 audit 和 root 用户。
缺省操作是将邮件发送到 audit_warn 别名并将邮件消息(优先级为 daemon.alert)发送到 syslog。
系统管理员可以定制 audit_warn 脚本以满足站点的特定需求。更新到新发行版时应谨慎解决发行版中发生的任何更改。
支持以下选项:
指出所有 audit_binfile(7) 目录文件系统的硬限制已超过 count 次。为避免占用邮件假脱机目录,仅在计数为 1 时发送邮件。
指出已超过所有 audit_binfile(7) 目录文件系统的软限制。
指示审计远程服务器发生错误。
指出内核审计子系统已失败而审计服务仍在运行。这种情况下审计服务将退出。
指示审计服务检测到配置错误。
指出已超过 audit_binfile(7) 目录文件系统的硬限制。
指出审计服务找不到要与本地主机名相关联的 IP 地址。它已退而使用“回送”地址。审计迹转换工具可能未正确转换主机名。可以刷新 (audit –s) 审计服务以重试查找 IP 地址。
指出由于审计子系统的系统调用报告失败而无法启动审计。
指出执行审计服务插件 name 期间发生错误。为避免占用邮件假脱机目录,仅在计数为 1 时发送邮件。会为每个错误类型单独计数。text 字段提供从该插件传递的详细错误消息。error 字段为以下字符串之一:
无法装入插件 name。
插件 name 由于缺乏资源等系统错误而未执行。
由于配置错误而未装入任何插件,包括二进制文件插件 audit_binfile(7)(请参见 auditconfig(8) 命令的 –setplugin 选项)。name 字符串为 --,表示未应用任何插件名称。
插件 name 报告它遇到了临时故障。例如,audit_binfree.so 插件使用 retry 来指出所有目录已满。
插件 name 报告由于内存不足而导致出现故障。
插件 name 报告它收到了无效输入。
插件 name 报告了 text 中所述的错误。
指示已超过 audit_binfile(7) 目录文件系统的软限制。
其他信息。
有关下列属性的说明,请参见 attributes(7):
|
命令为 Committed(已确定)。脚本内容为 Uncommitted(未确定)。存在的 /var/audit/debug 的内容为 Not-an-Interface(不是接口)。syslog 和邮件输出为 Not-an-Interface(不是接口)。
logger(1)、mailx(1)、aliases(5)、audit.log(5)、syslog.conf(5)、attributes(7)、audit_binfile(7)、audit(8)、auditconfig(8)、auditd(8)
仅当启用了审计服务时此功能才可用。
硬限制和软限制与 audit_binfile(7) 的列表和审计远程服务器目录以及所配置的空闲空间有关。当前活动目录的使用量超过配置的空闲空间时,将达到“软限制”,随后将尝试列表中的下一个目录。当前活动目录的空间全部耗尽时,将达到“硬限制”,随后将尝试列表中的下一个目录。
See the pkg(7) man page for guidance on resolving changes across release updates.
如果设置了 perzone 审计策略,或者没有设置 perzone 且启用了审计远程服务器,则会将本地区域的 /etc/security/audit_warn 脚本用于来自审计服务的本地区域实例的通知。在本地区域中,如果没有设置 perzone 策略且没有启用审计远程服务器,则所有审计服务错误将由 /etc/security/audit_warn 的全局区域副本生成。