Alle configuratie bestanden voor beveiligings audit kunnen worden gevonden in /etc/security. De volgende bestanden moeten aanwezig zijn voor de audit daemon wordt gestart:
audit_class - Bevat de definities van de audit klasses.
audit_control - Controleert aspecten van het audit subsysteem, zoals de standaard audit klassen, minimale hoeveelheid diskruimte die moet overblijven op de audit log schijf, de maximale audit trail grootte, etc.
audit_event - Tekst namen en beschrijvingen van systeem audit evenementen, evenals een lijst van klassen waarin elk evenement zich bevind.
audit_user - Gebruiker specifieke audit benodigdheden welke gecombineerd worden met de globale standaarden tijdens het inloggen.
audit_warn - Een bewerkbaar shell script gebruikt door de auditd applicatie welke waarschuwings berichten genereert in bijzondere situaties zoals wanneer de ruimte voor audit records te laagis of wanneer het audit trail bestand is geroteerd.
WaarschuwingAudit configuratie bestanden moeten voorzichtig worden bewerkt en onderhouden, omdat fouten in de configuratie kunnen resulteren in het verkeerd loggen van evenementen.
Selectie expressies worden gebruikt op een aantal plaatsen in de audit configuratie om te bepalen welke evenementen er geaudit moeten worden. Expressies bevatten een lijst van evenement klassen welke gelijk zijn aan een prefix welke aangeeft of gelijke records geaccepteerd moeten worden of genegeerd en optioneel om aan te geven of de regel is bedoeld om succesvolle of mislukte operaties te matchen. Selectie expressies worden geevalueerd van links naar rechts en twee expressies worden gecombineerd door de één aan de ander toe te voegen.
De volgende lijst bevat de standaard audit evenement klassen welke aanwezig zijn in het audit_class bestand:
all - all - Matched alle evenement klasses.
ad - administrative - Administratieve acties welke uitgevoerd worden op het gehele systeem.
ap - application - Applicatie gedefinieerde acties.
cl - file
close - Audit aanroepen naar de close
systeem aanroep.
ex - exec - Audit programma uitvoer. Het auditen van command line argumenten en omgevings variabelen wordt gecontroleerd via audit_control(5) door gebruik te maken van de argv en envv parameters in de policy setting.
fa - file attribute access - Audit de toevoeging van object attributen zoals stat(1), pathconf(2) en gelijkwaardige evenementen.
fc - file create - Audit evenementen waar een bestand wordt gecreëerd als resultaat.
fd - file delete - Audit evenementen waarbij bestanden verwijderd worden.
fm - file attribute modify - Audit evenementen waarbij bestandsattribuut wijzigingen plaatsvinden zoals bij chown(8), chflags(1), flock(2), etc.
fr - file read - Audit evenementen waarbij data wordt gelezen, bestanden worden geopend voor lezen etc.
fw - file write - Audit evenementen waarbij data wordt geschreven, bestanden worden geschreven of gewijzigd, etc.
io - ioctl - Audit het gebruik van de ioctl(2) systeem aanroep.
ip - ipc - Audit verschillende vormen van Inter-Process Communication, zoals POSIX pipes en System V IPC operaties.
lo - login_logout - Audit login(1) en logout(1) evenementen die plaatsvinden op het systeem.
na - non attributable - Audit non-attributable evenementen.
no - invalid class - Matched geen enkel audit evenement.
nt - network - Audit evenementen die gerelateerd zijn aan netwerk acties zoals connect(2) en accept(2).
ot - other - Audit diverse evenementen.
pc - process - Audit process operaties zoals exec(3) en exit(3)
Deze audit evenement klassen kunnen veranderd worden door het wijzigingen van de audit_class en audit_event configuratie bestanden.
Elke audit klasse in de lijst wordt gecombineerd met een voorzetsel welke aangeeft of er succesvolle of mislukte operaties hebben plaatsgevonden en of de regel wordt toegevoegd of verwijderd van het matchen van de klasse en het type.
(none) Audit zowel succesvolle als mislukte informatie van het evenement.
+ Audit succesvolle evenementen in deze klasse.
- Audit mislukte evenementen in deze klasse.
^ Audit geen enkele succesvolle of mislukte evenementen in deze klasse.
^+ Audit geen succesvolle evenementen in deze klasse.
^- Audit geen mislukte evenementen in deze klasse.
De volgende voorbeeld selectie strings selecteren zowel succesvolle als mislukte login/logout evenementen, maar alleen succesvolle uitvoer evenementen:
lo,+ex
In de meeste gevallen moet een beheerder twee bestanden wijzigingen wanneer het audit systeem wordt geconfigureerd: audit_control en audit_user. Het eerste controleert systeem brede audit eigenschappen en policies, het tweede kan gebruikt worden om diepgaande auditing per gebruiker uit te voeren.
Het audit_control bestand specificeert een aantal standaarden van het audit subsysteem. Als de inhoud bekeken wordt van dit bestand is het volgende te zien:
dir:/var/audit flags:lo minfree:20 naflags:lo policy:cnt filesz:0
De dir optie wordt gebruikt om één of meerdere
directories te specificeren die gebruikt worden voor de opslag van audit logs. Als
er meer dan één directory wordt gespecificeerd, worden ze op volgorde
gebruikt naarmate ze gevuld worden. Het is standaard dat audit geconfigureerd wordt
dat audit logs worden bewaard op een eigen bestandssysteem, om te voorkomen
dat het audit subsysteem en andere subsystemen met elkaar botsen als het
bestandssysteem volraakt.
Het flags veld stelt de systeem brede standaard
preselection maskers voor attributable evenementen in. In het voorbeeld boven
worden succesvolle en mislukte login en logout evenementen geaudit voor alle
gebruikers.
De minfree optie definieerd het minimale percentage
aan vrije ruimte voor dit bestandssysteem waar de audit trails worden opgeslagen.
Wanneer deze limiet wordt overschreven wordt er een waarschuwing gegenereerd. In
het bovenstaande voorbeeld wordt de minimale vrije ruimte ingesteld op 20
procent.
Denaflags optie specificeerd audit klasses welke
geaudit moeten worden voor non-attributed evenementen zoals het login proces en
voor systeem daemons.
Depolicy optie specificeert een komma gescheiden
lijst van policy vlaggen welke diverse aspecten van het audit proces beheren. De
standaard cnt vlag geeft aan dat het systeem moet
blijven draaien ook al treden er audit fouten op (deze vlag wordt sterk
aangeraden). Een andere veel gebruikte vlag is argv, wat
het mogelijk maakt om command line argumenten aan de execve(2) systeem
aanroep te auditen als onderdeel van het uitvoeren van commando's.
De filesz optie specificeert de maximale grootte in
bytes hoeveel een audit trail bestand mag groeien voordat het automatisch
getermineerd en geroteerd wordt. De standaard, 0, schakelt automatische log rotatie
uit. Als de gevraagde bestands grootte niet nul is en onder de minimale 512k
zit, wordt de optie genegeerd en wordt er een log bericht gegenereerd.
Het audit_user bestand staat de beheerder toe om verdere audit benodigdheden te specificeren voor gebruikers. Elke regel configureert auditing voor een gebruiker via twee velden, het eerste is het alwaysaudit veld, welke een set van evenementen specificeert welke altijd moet worden geaudit voor de gebruiker, en de tweede is het neveraudit veld, welke een set van evenementen specificeerd die nooit geaudit moeten worden voor de gebruiker.
Het volgende voorbeeld audit_user bestand audit login/logout evenementen en succesvolle commando uitvoer voor de root gebruiker, en audit bestands creatie en succesvolle commando uitvoer voor de www gebruiker. Als dit gebruikt wordt in combinatie met het voorbeeld audit_control bestand hierboven, is de root regel dubbelop en zullen login/logout evenementen ook worden geaudit voor de www gebruiker.
root:lo,+ex:no www:fc,+ex:no