Регистрация и аудит событий#
Регистрация событий в системе#
Регистрация и отправка информации о событиях в системе осуществляется в соответствии со стандартом Syslog, определяющим формат сообщений о событиях и правила их передачи и регистрации в журналах.
Основные файлы журналов протоколирования событий разсположены в системном каталоге /var/log
.
Регистрация основных системных событий с момента запуска ОС ведется в системном журнале /var/log/syslog
.
Регистрация событий постановки/снятия с контроля целостности исполняемых модулей и файлов данных, а также событий неудачного запуска неподписанных файлов осуществляется в журнале ядра /var/log/kern.log
.
Регистрация событий создания/удаления/изменения настроек учетных записей пользователей и начала/окончания сеансов работы учетных записей пользователей осуществляется в журнале /var/log/auth.log
.
Регистрация событий изменения для учетных записей полномочий по доступу к информации осуществляется в журнале /var/log/auth.log
.
Регистрация событий смены аутентифицирующей информации учетных записей осуществляется в журнале /var/log/auth.log
.
Регистрация событий вывода текстовых (графических) документов на бумажный носитель осуществляется в журнале /var/log/cups/page_log
.
Для Регистрации событий в ОС также могут использоваться журналы различных служб и программ.
Регистрация событий безопасности#
Регистрация событий безопасности в ОС реализована с учетом требований ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации» с использованием службы auditd.
Служба auditd выполняет регистрацию и аудит событий объектов файловой системы пользователей (процессов) согласно заданным правилам.
Применение настроенных параметров регистрации и аудита осуществляется PAM-модулем pam_parsec_aud.
В библиотеках подсистемы безопасности PARSEC реализован программный интерфейс для регистрации событий с использованием службы регистрации событий безопасности ОС, применяемый для регистрации событий в СУБД (описание приведено в Руководстве по КСЗ) и комплексе программ электронной почты.
Регистрация событий осуществляется в соответствии с правилами аудита, которые делятся на два типа:
временные — действуют до перезагрузки системы. Данные правила относятся к подсистеме аудита ядра: они задаются посредством инструмента auditctl и начинают выполняться при запуске службы auditd;
постоянные — действуют всегда, даже после перезагрузки системы. Такие правила задаются в файлах формата
.rules
, располагающихся в каталоге/etc/audit/rules.d/
.
Примечание
Подробное описание правил аудита, а также синтаксис использования инструмента auditctl приведены на справочной странице man auditctl.
Подсистема безопасности PARSEC предоставляет дополнительный способ выбора событий для регистрации — PARSEC-аудит.
Он использует списки правил регистрации событий, назначаемые на процессы и файлы с помощью инструментов командной строки setfaud, useraud и psaud.
Постоянные правила для работы PARSEC-аудита заданы в файлах /etc/audit/rules.d/10-parsec.rules
(аудит процессов и файлов) и /etc/audit/rules.d/10-parsec-nw.rules
(сетевой аудит).
В дополнение к постоянным правилам PARSEC-аудита (файлов, процессов и сетевого) можно задавать собственные постоянные правила аудита, которые рекомендуется добавлять в файл /etc/audit/rules.d/audit.rules
. При необходимости возможно создать в каталоге /etc/audit/rules.d/
новый файл с произвольным именем и расширением
*.rules
и задать в нем необходимые правила. Файл /etc/audit/rules.d/audit.rules
.
Служба auditd регистрирует события безопасности в журнале аудита /var/log/audit
, просмотреть который можно с помощью графической утилиты ksystemlog, (описание утилиты приведено в электронной справке).
Примечание
Средства управления аудитом описаны в Эксплуатационной документации на ОС СН Astra Linux Special Edition в Руководстве по КСЗ.
Подсистема регистрации событий и уведомления о событиях включает следующие основные компоненты:
менеджер и маршрутизатор событий syslog-ng — основная служба подсистемы регистрации событий, которая принимает информацию о событиях из различных источников, выполняет фильтрацию и обработку полученных данных, регистрирует события в журнал, а также, в зависимости от конфигурации, сохраняет в файл, отправляет по сети и т.д.;
модуль syslog-ng-mod-astr — в дополнение к syslog-ng выполняет дополнительную обработку и фильтрацию событий;
astra-event-watcher — служба уведомления пользователя о событиях, обработанных менеджером syslog-ng;
astra-event-diagnostics — инструмент диагностики подсистемы регистрации событий.
Совет
Подробнее о средствах протоколирования событий и аудита можно узнать в Эксплуатационной документации на ОС СН Astra Linux Special Edition в Руководстве администратора и в Руководстве по КСЗ.