Utilizați auditul pentru a urmări citirea și scrierea fișierelor

AIX® oferă modalități simple de a controla timpul ultimului acces la un fișier. Un exemplu este comanda ls. Dar, uneori, trebuie să știți cine (sau ce proces) accesează fișierul. Aceste informații pot fi necesare pentru depanarea sau monitorizarea fișierelor importante. Informațiile de urmărire referitoare la operațiile de citire și scriere pentru un fișier sunt posibile utilizând un audit.







În sistemele AIX, sistemele de audit sunt concepute pentru a înregistra informații legate de securitate și pentru a alerta administratorii despre găurile de securitate. Puteți configura fișierele de configurare și date despre obiectul utilizat de subsistemul de audit pentru a monitoriza orice fișier care vă interesează. De asemenea, puteți utiliza una dintre capabilitățile de audit, și anume monitorizarea în timp real, pentru a urmări anumite procese și fișiere modificate arbitrar de procese neidentificate.

Tot ce aveți nevoie pentru a controla fișierele este sistemul obișnuit AIX cu privilegii root. Pentru comanda de audit, accesul la execuție este permis pentru administratorul (root) și pentru utilizatorii grupului de audit. Utilizatorii trebuie să se afle în grupul de audit pentru a avea permisiunea de a efectua audituri în sistem.

O secvență generală de pași pentru controlul fișierelor:

Configurarea subsistemului de audit

Setarea subsistemului de audit necesită crearea unor intrări speciale în fișierele de date obiect și în fișierele de configurare pe care subsistemul de audit le utilizează pentru a genera rezultatele.

În acest scenariu, urmăm fișierul /home/test.txt. Pentru a configura subsistemul de audit, efectuați următoarele operații:

  1. În fișierul / etc / security / audit / objects, creați o intrare pentru /home/test.txt utilizând formatul următor:

S_NOTAUTH_READ și S_NOTAUTH_WRITE sunt cuvinte cheie pentru citirea și scrierea controlului. Aceste cuvinte cheie pot fi înlocuite cu orice alt cuvânt cheie, în funcție de cerințele dvs.







Este, de asemenea, posibil să controlați mai mult de un fișier utilizând același cuvânt cheie, folosind intrări individuale în fișierul / etc / security / audit / objects pentru fiecare fișier pe care doriți să îl monitorizați în același format.

  • În fișierul / etc / security / audit / config, efectuați următoarea intrare în subsecțiunea de clasă:
  • În fișierul / etc / security / audit / config, adăugați intrări pentru toți utilizatorii:

    Acest set de înregistrări din fișier asigură că orice operație de citire sau scriere aplicată fișierului /home/test.txt de către orice utilizator din această listă va fi monitorizată și stabilită de subsistemul de audit. Dacă intrarea pentru utilizator există deja, puteți adăuga o intrare pentru agresori, separându-l de cea anterioară cu o virgulă.

    În scenariul nostru, nu există o diferență semnificativă între cele două moduri, cu excepția formatului de ieșire. Pentru a colecta date, este posibil să se includă simultan unul sau ambele moduri. Modurile pot fi activate și dezactivate prin modificarea intrărilor corespunzătoare din fișierul etc / security / audit / config. Exemplul de mai jos include modul STREAM.

    Pașii de mai sus asigură că fișierul /home/test.txt se află sub supravegherea subsistemului de audit.

    Rezultate de monitorizare

    Pentru a monitoriza ieșirea, executați mai întâi subsistemul de audit executând comanda:

    Colectarea datelor în modul STREAM

    Deoarece colectarea datelor este activată în modul STREAM, puteți începe colectarea de date prin executarea comenzii:

    Această comandă oferă următoarele informații:

    Rezultatele auditului sunt scrise în fișierul /audit/stream.out, care poate fi observat în timp real pentru a controla operațiile de citire și scriere.

    Ieșirea tipică este prezentată în Lista 1.

    Listarea 1. Fișier de ieșire - colectarea datelor în modul STREAM

    Interpretarea fișierului de ieșire este simplă. De exemplu, următorul rând

    Colectarea datelor în modul BIN

    Dacă colectarea datelor este activată în modul BIN, puteți începe colectarea datelor executând următoarea comandă:

    Această comandă scrie rezultatele auditului în fișierul /audit.out, care poate fi observat și în timp real.

    Producția tipică arată după cum se arată în Lista 2.

    Listing 2. Fișier de ieșire - colectare de date binare

    Putem monitoriza fișierele de ieșire și să monitorizăm operațiile de citire și scriere din fișierele noastre.

    Descărcați resurse

    Subiecte conexe

    • IBM Redbooks. citiți documentul "Raportarea și auditul în AIX 5L" și aflați cum să configurați, să întrețineți și să diagnosticați funcțiile avansate pentru audit și raportare pe sistemele AIX 5L ™.
    • Articolul original Utilizați auditul pentru a urmări citirile și scrierea într-un fișier.
    • Podcast-uri. ascultați și țineți pasul cu experții tehnici IBM.






    Pagina anterioară

    Pagina următoare

    Trimiteți-le prietenilor: