льних файлів. Директива disp_qos візначає Параметри взаємодії даної програми з демоном auditd. Если в даній діректіві вказано Значення lossy, то події, послані даній Програмі, відаляються, ЯКЩО буфер обміну Даними между демоном auditd и даною програмою Повністю заповненості (за замовчуванням розмір даного буфера складає 128Кб). Запис подій як и раніше здійснюється, ЯКЩО в діректіві log_format не вказано Значення nolog.
У директивах space_left и space_left_action задається, відповідно, межа вільного дискового простору розділу, на якому розташовуються дані аудиту, и дія, якові нужно Виконати в разі перевіщення вказаної Межі. Если вказано Значення SYSLOG, то в журнал СЕРВіСУ syslog буде записано відповідне Попередження. У директивах disk_full_action и disk_error_action вказуються, відповідно, дія віконується в разі Заповнення дискового простору на розділі з журнальні файли аудиту, и дія віконується у разі Виявлення помилки запису даних до журнальний файл або его Ротації. За замовчуванням, для Даних директив задане значення SUSPEND, при якому наступні події запісуватіся в журнальний файл аудиту не будуть, а Дії, что віконуються в Сейчас над журнальним фалом, завершуватися.
Для налаштування правил аудиту системних вікліків и стеження за файлами и каталогами вікорістовується утіліта auditctl. Если сервіс auditd налаштованості на Автоматичне включення, то правила аудиту системних вікліків и стеження за об'єктами файлової системи можна Задати у файлі / etc / udit / auditles. Кожне правило аудиту винне здаватіся в окремому рядку. Форма запісів правил и ЗАСОБІВ має вигляд аргументів командного рядка для команди auditctl. Демон auditd зчітує правила зверху вниз и Якщо буде виявлено два конфліктуючі правила, то перевага буде віддана Першого знайдення правилом.
В якості параметра auditctl вказується список подій, в Який додається данє правило. Сейчас підтрімуються наступні списки: - вікорістовується для ведення подій, пов'язаних Зі створеня процесів; - вікорістовується для ведення подій, в якіх вказуються Параметри корістувацького простору, Такі як uid, pid та gid; - вікорістовується для Заборона аудиту зазначеніх в даним списку подій; - вікорістовується для реєстрації подій системних вікліків; - вікорістовується для реєстрації подій системних вікліків.
В якості параметра такоже вказується Одне з Дій, что вжіваються по відношенню до Вказаною в списках подіям. Доступно Всього Дві Дії: never и always. При вказівці Дії never, події НЕ запісуються в журнал аудиту. Вказівка?? Дії always має протилежних ефект.
В аргументах такоже задаються опції, Які є фільтрамі, с помощью якіх можна деталізуваті події аудиту. Повний список опцій можна посмотреть в керівніцтві man для команди auditdctl. У якості опції можна задаваті унікальні ідентіфікаторі користувача або процеса, назва системного виклику и Багато Іншого. При цьом, Можливо використовуват логічні вирази для Формування комбінованіх опцій.
Додавання правил аудиту відбувається помощью відряд auditdctl з ключем-а. При цьом правила, додаються в Кінець файлу auditd.conf. Для того, щоб Додати правило в качан даного файлу, звітність, використовуват ключ-А.
Розглянемо Приклади додавання правил аудиту:
a exit, always-s open-f uid=502-f key=502opena entry, always-s chown