Регистрация событий запуска программ#
Регистрация событий в операционной системе обеспечивает возможность последующего анализа для контроля функционирования различных компонентов ПО и диагностики ошибок.
В ALSE регистрация событий безопасности выполняется с учетом требований ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации».
Примечание
Регистрация событий безопасности в ALSE описана в эксплуатационной документации в разделе 6 Руководства по КСЗ. Часть 1.
Рассмотрим работу со средствами регистрации событий ALSE на примере регистрации событий запуска программ офисного пакета LibreOffice, содержащем следующие действия:
включение регистрации событий запуска программ;
просмотр зарегистрированных событий;
отключение регистрации событий запуска программ.
1. Включение регистрации событий запуска программ#
Все программы офисного пакета LibreOffice запускаются с помощью исполняемого файла /usr/lib/libreoffice/program/soffice.bin.
Включение регистрации событий запуска на выполнение данного файла осуществляется в сеансе высокоцелостного администратора путем выполнения следующих действий:
В каталоге
/etc/audit/rules.dнеобходимо создать файл правилaudit_office.rules, содержащий строки с правилами регистрации событий.
В нашем случае файл правил будет содержать только одну строку, правила регистрации запуска на исполнение исполняемого файла LibreOffice:
- w /usr/lib/libreoffice/program/soffice.bin -p x
Для регистрации запуска других исполняемых файлов следует включить в файл правил соответствующие строки вида:
- w <путь_к_исполняемому_файлу> -p x
Перезапустить службу регистрации событий путем выполнения команды:
sudo systemctl restart auditd
После выполнения этой команды начнет выполняться регистрация событий, указанных в файле правил.
2. Просмотр зарегистрированных событий#
Регистрация событий будет выполняться во всех режимах функционирования ALSE и в сеансах работы различных пользователей.
Просмотр зарегистрированных событий осуществляется в сеансе высокоцелостного администратора путем выполнения команды:
sudo ausearch -x /usr/lib/libreoffice/program/soffice.bin
Сокращенный вывод информации о зарегистрированных событиях можно реализовать путем добавления в команду соответствующего параметра –format text:
sudo ausearch -x /usr/lib/libreoffice/program/soffice.bin --format text
При необходимости вывода событий за определенный период времени в команду следует добавить параметры даты и времени начала и окончания временного диапазона:
sudo ausearch -x /usr/lib/libreoffice/program/soffice.bin --format text -ts 10.02.2025 08:00:00 -te 14.02.2025 19:00:00
Для вывода информации о событиях запусках других программ в команде должны быть указаны соответствующие пути к исполняемым файлам.
Примечание
Описание применения команды ausearch приведено на справочной странице man ausearch.
3. Отключение регистрации событий запуска программ#
Когда необходимость регистрации событий запуска программ отпадет, ee целесообразно отключить для уменьшения расходуемых вычислительных ресурсов компьютера и размеров дискового пространства, занимаемого файлами журналов регистрации.
Отключение регистрации событий запуска на выполнение заданного файла осуществляется в сеансе высокоцелостного администратора путем выполнения следующих действий:
Удалить файл правил
/etc/audit/rules.d/audit_office.rules.Перезапустить службу регистрации событий путем выполнения команды:
sudo systemctl restart auditd
После выполнения этой команды регистрация событий, указанных в удаленном файле правил будет прекращена.