| AUDITD(8) | أدوات إدارة النظام | AUDITD(8) |
الاسم¶
auditd - خفيّ تدقيق لينكس
موجز¶
auditd [-f] [-l] [-n] [-s disable|enable|nochange] [-c <دليل_الإعدادات>]
الوصف¶
auditd هو مكون مساحة المستخدم لنظام تدقيق لينكس. هو مسؤول عن كتابة سجلات التدقيق إلى القرص. تُعرض السجلات باستخدام أدوات ausearch أو aureport. يُضبط نظام التدقيق أو تُحمّل القواعد باستخدام أداة auditctl. أثناء بدء التشغيل، تُقرأ القواعد الموجودة في /etc/audit/audit.rules بواسطة auditctl وتُحمّل في النواة. بدلاً من ذلك، يوجد أيضًا برنامج augenrules يقرأ القواعد الموجودة في /etc/audit/rules.d/ ويُجمّعها في ملف audit.rules. يحتوي خفيّ التدقيق نفسه على بعض خيارات الإعداد التي قد يرغب المسؤول في تخصيصها. تُوجد هذه الخيارات في ملف auditd.conf.
الخيارات¶
- -f
- يترك خفيّ التدقيق في المقدمة لأغراض التصحيح. تذهب الرسائل أيضًا إلى stderr بدلاً من سجل التدقيق.
- -l
- يسمح لخفيّ التدقيق بمتابعة الروابط الرمزية لملفات الإعداد.
- -n
- لا يتفرع. هذا مفيد للتشغيل من inittab أو systemd.
- -s=حالة_التمكين
- يحدد عند البدء ما إذا كان auditd يجب أن يغير القيمة الحالية لعلامة تمكين النواة. القيم الصالحة لـ ENABLE_STATE هي "disable" (تعطيل)، "enable" (تمكين) أو "nochange" (لا تغيير). المبدئي هو التمكين (والتعطيل عند إنهاء auditd). قد تتغير قيمة علامة التمكين خلال عمر auditd باستخدام 'auditctl -e'.
- -c
- يحدد دليل ملف إعداد بديل. لاحظ أن هذا الدليل نفسه سيمرر إلى المرسل. (مبدئي: /etc/audit/)
إشارات¶
- SIGHUP
- يتسبب في إعادة ضبط auditd. هذا يعني أن auditd يعيد قراءة ملف الإعداد. إذا لم توجد أخطاء نحوية، فسيشرع في تنفيذ التغييرات المطلوبة. إذا نجحت إعادة الضبط، يُسجل حدث DAEMON_CONFIG في السجلات. إذا لم تنجح، يُتحكم في معالجة الأخطاء بواسطة المعلمات space_left_action، admin_space_left_action، disk_full_action، و disk_error_action في auditd.conf.
- SIGTERM
- يتسبب في توقف auditd عن معالجة أحداث التدقيق، وكتابة حدث تدقيق إغلاق، والخروج.
- SIGUSR1
- يتسبب في تدوير auditd للسجلات فورًا. يستشير max_log_file_action ليرى ما إذا كان يجب عليه الاحتفاظ بالسجلات أم لا.
- SIGUSR2
- يتسبب في محاولة auditd استئناف التسجيل وتمرير الأحداث إلى الإضافات. هذا مطلوب عادة بعد تعليق التسجيل أو فيضان قائمة الانتظار الداخلية. يعتمد أي من هذه الشروط على إعدادات الإعدادات المطبقة.
- SIGCONT
- يتسبب في إفراغ auditd لتقرير عن الحالة الداخلية إلى /var/run/auditd.state.
رموز الخروج¶
- 1
- لا يمكن ضبط الأولوية، أو تحويله إلى خفيّ، أو فتح رابط شبكة التدقيق، أو كتابة ملف pid، أو بدء تشغيل الإضافات، أو حل اسم الجهاز، أو تعيين pid التدقيق، أو مهام التهيئة الأخرى.
- 2
- وسائط سطر الأوامر غير صالحة أو مفرطة
- 4
- خفيّ التدقيق لا يمتلك امتيازات كافية
- 6
- يوجد خطأ في ملف الإعداد
الملفات¶
/etc/audit/auditd.conf - ملف الإعدادات لبرنامج تدقيق النظام الخفي
/etc/audit/audit.rules - قواعد تدقيق النظام التي تُحمّل عند بدء التشغيل
/etc/audit/rules.d/ - دليل يحتوي على مجموعات فردية من القواعد التي تُجمّع في ملف واحد بواسطة augenrules.
/etc/audit/plugins.d/ - دليل يحتوي على ملفات إعدادات الملحقات الفردية.
/etc/audit/audit-stop.rules - تُحمّل هذه القواعد عندما يتوقف برنامج تدقيق النظام الخفي.
/var/run/auditd.state - تقرير عن الحالة الداخلية.
ملاحظات¶
يجب إضافة معلمة تشغيل audit=1 لضمان أن جميع العمليات التي تعمل قبل بدء برنامج تدقيق النظام الخفي تُعلّم على أنها قابلة للتدقيق بواسطة النواة. عدم فعل ذلك سيجعل تدقيق بعض العمليات بشكل صحيح مستحيلاً.
يمكن لبرنامج تدقيق النظام الخفي استقبال أحداث التدقيق من برامج تدقيق نظام خفية أخرى عبر ملحق audisp-remote. قد يُربط برنامج تدقيق النظام الخفي بـ tcp_wrappers للتحكم في الأجهزة التي يمكنها الاتصال. إذا كان الأمر كذلك، يمكنك إضافة إدخال إلى hosts.allow و hosts.deny.
انظر أيضًا¶
auditd.conf(5)، auditd-plugins(5)، ausearch(8)، aureport(8)، auditctl(8)، augenrules(8)، audit.rules(7).
المؤلف¶
Steve Grubb
ترجمة¶
تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>
هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.
إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.
| سبتمبر 2021 | ريد هات |