audit_syslog - 提供从 Solaris 审计数据到系统日志消息的实时转换
/usr/lib/security/audit_syslog.so
用于 Solaris 审计的 audit_syslog 插件模块 /usr/lib/security/audit_syslog.so 提供 Solaris 审计数据到系统日志格式(文本)数据的实时转换,并按照 rsyslog.conf 中的配置将数据发送到系统日志守护进程。该插件的路径通过 auditconfig(8) 实用程序来指定。
Messages to syslog are written if the plugin is configured as active via auditconfig.使用 auditconfig –setplugin 选项可以更改所有与插件相关的配置参数。Syslog 消息通过工具代码 LOG_AUDIT(在 rsyslog.conf 中为 audit)和严重性 LOG_NOTICE 生成。syslog 审计消息包含从用于二进制审计日志的标记中选择的数据。(See audit.log(5)).与所有 syslog 消息一样,syslog 文件中的每一行都包括两部分,即 syslog 头和消息。
syslog 标头包含生成消息的日期和时间、发送该消息的主机的主机名、用于指示该消息由审计守护进程生成的 auditd、由 rsyslogd 在内部使用的 ID 字段以及用于指示 syslog 工具值和严重性值的 audit.notice。syslog 标以字符 ] 结尾,即一个结束方括号和一个空格。
消息部分以头标记中的事件类型开头。仅当所有后续数据包含在原始审计记录中且 1024 字节的最大长度 syslog 行中有空间时,才会显示这些数据。在以下示例中,反斜杠 (\) 指示继续;实际 syslog 消息包含在一行中:
Oct 31 11:38:08 smothers auditd: [ID 917521 audit.notice] chdir(2) ok\ session 401 by joeuser as root:other from myultra obj /export/home
在上述示例中,chdir(2) 是事件类型。此字段后是如下所述的其他数据。如果这些数据未包含在源审计记录中,将省略这些数据。
来自 return 或 exit 标记。
<#> is the session ID from the subject token.
<name> is the audit ID from the subject token.
<name> is the effective user ID and <group> is the effective group ID from the subject token.
The zone name.仅在设置 zonename 审计策略时才会生成此字段。
<terminal> is the text machine address from the subject token.
<path> is the path from the path token The path can be truncated from the left if necessary to fit it on the line.使用前导省略号 (...) 来指示截断。
<owner> is the effective user ID of the process owner.
<owner> is the audit ID of the process owner.
列出 exec_args 标记中的 execv(2) 系统调用参数。
根据换行需要,可以从右端截断参数。通过以省略号 (...) 结尾来指示截断。
列出 exec_env 标记中的 execv(2) 系统调用环境参数。
根据换行需要,可以从右端截断参数。通过以省略号 (...) 结尾来指示截断。
以下是示例 syslog 消息:
Nov 4 8:27:07 smothers auditd: [ID 175219 audit.notice] \ system booted Nov 4 9:28:17 smothers auditd: [ID 752191 audit.notice] \ login - rlogin ok session 401 by joeuser as joeuser:staff from myultra Nov 4 10:29:27 smothers auditd: [ID 521917 audit.notice] \ access(2) ok session 255 by janeuser as janeuser:staff from \ 129.146.89.30 obj /etc/passwd
p_flag 属性用于进一步过滤要发送到 rsyslog 守护进程的审计数据,该守护进程超出了通过 flags 和 naflags (请参见auditconfig(8))以及通过 user_attr(5) 的用户特定行指定的类范围。该参数是一个逗号分隔列表;每一项表示一个审计类(请参见 audit_class(5))并使用 audit_flags(7) 中所述的语法进行指定。缺省设置(空 p_flags)表示将不生成任何审计记录。
The p_cache_ttl attribute is used to specify the time in seconds that a cached name-service value (uid, gid, hostname) can be reused.The default value is 1800 seconds, which is half the default cache ttl that nscd(8) uses.
在下面所示的规范中,plugin(与设置 flags 和 naflags 结合使用)用于允许 lo 的类记录,但仅失败时才允许 am 的类记录。省略 fm 类记录会导致不输出任何 fm 类记录。pc 参数没有任何效果,因为您无法向通过 flags 和 naflags 以及由 user_attr(5) 定义的那些标志添加类。您只能删除它们。
auditconfig -setflags lo,am,fm auditconfig -setnaflags lo auditconfig -setplugin audit_syslog active "p_flags=lo,-am,pc"示例 2 Use of all
在下面所示的规范中,一种例外情况是,all 允许通过 flags 和 naflags(以及 user_attr(5))定义的所有标志。该例外情况是 am 元类,它等同于 ss,as,ua,后者修改为可输出所有 ua 事件但仅限 ss 和 as 的失败事件。
auditconfig -setflags lo,am auditconfig -setnaflags lo auditconfig -setplugin audit_syslog active "p_flags=all,^+ss,^+as"
在此示例中,ss 或 as 类(可能有多个类包含这两个类)中的一些成功审计事件可能仍会显示在 syslog 输出中。
有关以下属性的说明,请参见 attributes(7):
| 
 | 
消息格式和消息内容是 "Uncommitted"(未确定)。配置参数是 "Committed"(已确定)。
audit_class(5)、user_attr(5)、attributes(7)、audit_flags(7)、auditconfig(8)、auditd(8)、 rsyslogd(8)
激活 audit_syslog plugin 要求 /etc/rsyslog.conf 配置为将工具 audit 和严重性 notice 或更高级别的 syslog 消息存储在适用于 Solaris 审计记录的文件中。rsyslog.conf 中此类行的一个示例为:
audit.notice /var/audit/audit.log
缺省情况下,syslog 中的消息将通过 UDP 发送到远程 syslog 服务器,这种方式并不能保证送达或确保按正确顺序收到消息。可以将 rsyslogd 守护进程配置为使用基于 TCP 的传输(普通 TCP syslog,RELP)而非 UDP。For more information, see https://www.rsyslog.com/doc and the rsyslogd(8) man page.
如果使用为 plugin 行指定的参数导致未预选任何类,则将通过 syslog 警报以及 LOG_DAEMON 工具代码报告错误。
audit_syslog 不可用于替代 audit_binfile(7) 或 audit_remote(7)。Only a limited set of tokens are included in the syslog message.可以使用审计迹文件 (audit.log(5)) 获取完整的审计记录。
syslog 头中的时间字段由 syslog(3C) 生成,仅与二进制审计日志中给定的时间近似。通常,时间字段显示同一整秒,或者最多相差几秒。