Регистрация и аудит событий#

Регистрация событий в системе#

Регистрация и отправка информации о событиях в системе осуществляется в соответствии со стандартом Syslog, определяющим формат сообщений о событиях и правила их передачи и регистрации в журналах.

Основные файлы журналов протоколирования событий разсположены в системном каталоге /var/log.

Регистрация основных системных событий с момента запуска ОС ведется в системном журнале /var/log/syslog.

Регистрация событий постановки/снятия с контроля целостности исполняемых модулей и файлов данных, а также событий неудачного запуска неподписанных файлов осуществляется в журнале ядра /var/log/kern.log.

Регистрация событий создания/удаления/изменения настроек учетных записей пользователей и начала/окончания сеансов работы учетных записей пользователей осуществляется в журнале /var/log/auth.log.

Регистрация событий изменения для учетных записей полномочий по доступу к информации осуществляется в журнале /var/log/auth.log.

Регистрация событий смены аутентифицирующей информации учетных записей осуществляется в журнале /var/log/auth.log.

Регистрация событий вывода текстовых (графических) документов на бумажный носитель осуществляется в журнале /var/log/cups/page_log.

Для Регистрации событий в ОС также могут использоваться журналы различных служб и программ.

Регистрация событий безопасности#

Регистрация событий безопасности в ОС реализована с учетом требований ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации» с использованием службы auditd.

Служба auditd выполняет регистрацию и аудит событий объектов файловой системы пользователей (процессов) согласно заданным правилам.

Применение настроенных параметров регистрации и аудита осуществляется PAM-модулем pam_parsec_aud.

В библиотеках подсистемы безопасности PARSEC реализован программный интерфейс для регистрации событий с использованием службы регистрации событий безопасности ОС, применяемый для регистрации событий в СУБД (описание приведено в Руководстве по КСЗ) и комплексе программ электронной почты.

Регистрация событий осуществляется в соответствии с правилами аудита, которые делятся на два типа:

  1. временные — действуют до перезагрузки системы. Данные правила относятся к подсистеме аудита ядра: они задаются посредством инструмента auditctl и начинают выполняться при запуске службы auditd;

  2. постоянные — действуют всегда, даже после перезагрузки системы. Такие правила задаются в файлах формата .rules, располагающихся в каталоге /etc/audit/rules.d/.

Примечание

Подробное описание правил аудита, а также синтаксис использования инструмента auditctl приведены на справочной странице man auditctl.

Подсистема безопасности PARSEC предоставляет дополнительный способ выбора событий для регистрации — PARSEC-аудит.

Он использует списки правил регистрации событий, назначаемые на процессы и файлы с помощью инструментов командной строки setfaud, useraud и psaud.

Постоянные правила для работы PARSEC-аудита заданы в файлах /etc/audit/rules.d/10-parsec.rules (аудит процессов и файлов) и /etc/audit/rules.d/10-parsec-nw.rules (сетевой аудит).

В дополнение к постоянным правилам PARSEC-аудита (файлов, процессов и сетевого) можно задавать собственные постоянные правила аудита, которые рекомендуется добавлять в файл /etc/audit/rules.d/audit.rules. При необходимости возможно создать в каталоге /etc/audit/rules.d/ новый файл с произвольным именем и расширением *.rules и задать в нем необходимые правила. Файл /etc/audit/rules.d/audit.rules.

Служба auditd регистрирует события безопасности в журнале аудита /var/log/audit, просмотреть который можно с помощью графической утилиты ksystemlog, (описание утилиты приведено в электронной справке).

Примечание

Средства управления аудитом описаны в Эксплуатационной документации на ОС СН Astra Linux Special Edition в Руководстве по КСЗ.

Подсистема регистрации событий и уведомления о событиях включает следующие основные компоненты:

  1. менеджер и маршрутизатор событий syslog-ng — основная служба подсистемы регистрации событий, которая принимает информацию о событиях из различных источников, выполняет фильтрацию и обработку полученных данных, регистрирует события в журнал, а также, в зависимости от конфигурации, сохраняет в файл, отправляет по сети и т.д.;

  2. модуль syslog-ng-mod-astr — в дополнение к syslog-ng выполняет дополнительную обработку и фильтрацию событий;

  3. astra-event-watcher — служба уведомления пользователя о событиях, обработанных менеджером syslog-ng;

  4. astra-event-diagnostics — инструмент диагностики подсистемы регистрации событий.

Совет

Подробнее о средствах протоколирования событий и аудита можно узнать в Эксплуатационной документации на ОС СН Astra Linux Special Edition в Руководстве администратора и в Руководстве по КСЗ.