Go to main content

手册页部分 8:系统管理命令

退出打印视图

更新时间: 2022年7月27日 星期三
 
 

audit_warn(8)

名称

audit_warn - 审计服务警告脚本

用法概要

/etc/security/audit_warn option [arguments]

描述

audit_warn 脚本用于处理审计服务的警告和错误消息。例如,在启动、配置、处理或关闭期间遇到问题时,审计服务会使用适当的参数调用 audit_warnoption 参数指定问题的类型。

系统管理员可以指定发生 audit_warn 情况时要通知的邮件接收者的列表,方法是在 aliases(5) 中定义名为 audit_warn 的邮件别名。构成 audit_warn 别名的用户通常是 auditroot 用户。

缺省操作是将邮件发送到 audit_warn 别名并将邮件消息(优先级为 daemon.alert)发送到 syslog

系统管理员可以定制 audit_warn 脚本以满足站点的特定需求。更新到新发行版时应谨慎解决发行版中发生的任何更改。

选项

支持以下选项:

allhard count

指出所有 audit_binfile(7) 目录文件系统的硬限制已超过 count 次。为避免占用邮件假脱机目录,仅在计数为 1 时发送邮件。

allsoft

指出已超过所有 audit_binfile(7) 目录文件系统的软限制。

ars message

指示审计远程服务器发生错误。

auditoff

指出内核审计子系统已失败而审计服务仍在运行。这种情况下审计服务将退出。

config message

指示审计服务检测到配置错误。

hard directory

指出已超过 audit_binfile(7) 目录文件系统的硬限制。

hostname

指出审计服务找不到要与本地主机名相关联的 IP 地址。它已退而使用“回送”地址。审计迹转换工具可能未正确转换主机名。可以刷新 (audit –s) 审计服务以重试查找 IP 地址。

nostart

指出由于审计子系统的系统调用报告失败而无法启动审计。

plugin name error count text

指出执行审计服务插件 name 期间发生错误。为避免占用邮件假脱机目录,仅在计数为 1 时发送邮件。会为每个错误类型单独计数。text 字段提供从该插件传递的详细错误消息。error 字段为以下字符串之一:

load_error

无法装入插件 name

sys_error

插件 name 由于缺乏资源等系统错误而未执行。

config_error

由于配置错误而未装入任何插件,包括二进制文件插件 audit_binfile(7)(请参见 auditconfig(8) 命令的 –setplugin 选项)。name 字符串为 --,表示未应用任何插件名称。

retry

插件 name 报告它遇到了临时故障。例如,audit_binfree.so 插件使用 retry 来指出所有目录已满。

no_memory

插件 name 报告由于内存不足而导致出现故障。

invalid

插件 name 报告它收到了无效输入。

failure

插件 name 报告了 text 中所述的错误。

soft directory

指示已超过 audit_binfile(7) 目录文件系统的软限制。

文件

/var/adm/messages

其他信息。

属性

有关下列属性的说明,请参见 attributes(7)

属性类型
属性值
可用性
system/core-os
接口稳定性
请参见下文

命令为 Committed(已确定)。脚本内容为 Uncommitted(未确定)。存在的 /var/audit/debug 的内容为 Not-an-Interface(不是接口)。syslog 和邮件输出为 Not-an-Interface(不是接口)。

另请参见

logger(1)mailx(1)aliases(5)audit.log(5)syslog.conf(5)attributes(7)audit_binfile(7)audit(8)auditconfig(8)auditd(8)

附注

仅当启用了审计服务时此功能才可用。

硬限制和软限制与 audit_binfile(7) 的列表和审计远程服务器目录以及所配置的空闲空间有关。当前活动目录的使用量超过配置的空闲空间时,将达到“软限制”,随后将尝试列表中的下一个目录。当前活动目录的空间全部耗尽时,将达到“硬限制”,随后将尝试列表中的下一个目录。

See the pkg(7) man page for guidance on resolving changes across release updates.

如果设置了 perzone 审计策略,或者没有设置 perzone 且启用了审计远程服务器,则会将本地区域的 /etc/security/audit_warn 脚本用于来自审计服务的本地区域实例的通知。在本地区域中,如果没有设置 perzone 策略且没有启用审计远程服务器,则所有审计服务错误将由 /etc/security/audit_warn 的全局区域副本生成。