NUME¶

auditd - demonul de audit Linux

SINOPSIS¶

auditd [-f] [-l] [-n] [-s disable|enable|nochange] [-c <director-configurare>]

DESCRIERE¶

auditd este componenta spațiului utilizatorului pentru sistemul de audit Linux. Este responsabilă pentru scrierea înregistrărilor de audit pe disc. Vizualizarea jurnalelor se face cu utilitarele ausearch sau aureport. Configurarea sistemului de audit sau încărcarea regulilor se face cu utilitarul auditctl. În timpul pornirii, regulile din /etc/audit/audit.rules sunt citite de auditctl și încărcate în nucleu. Alternativ, există și un program augenrules care citește regulile situate în /etc/audit/rules.d/ și le compilează într-un fișier audit.rules. Demonul de audit în sine are câteva opțiuni de configurare pe care administratorul le poate personaliza. Acestea se găsesc în fișierul auditd.conf.

OPȚIUNI¶

-f: lasă demonul de audit în prim-plan pentru depanare. Mesajele sunt trimise către ieșirea de eroare standard, nu către jurnalul de audit.
-l: permite demonului de audit să urmărească legăturile simbolice pentru fișierele de configurare.
-n: fără bifurcare. Acest lucru este util pentru rularea din inittab sau systemd.
-s=STAREA_ACTIVĂ: specifică la pornire dacă auditd trebuie să modifice valoarea curentă pentru fanionul activat al nucleului. Valorile valide pentru STAREA_ACTIVĂ sunt „disable”, „enable” sau „nochange”. Valoarea implicită este activare (și dezactivare la terminarea auditd). Valoarea fanionului activat poate fi modificată în timpul duratei de viață a auditd folosind „auditctl -e”.
-c: specifică directorul alternativ pentru fișierul de configurare. Rețineți că același director va fi transmis dispecerului. (implicit: /etc/audit/)

SEMNALE¶

SIGHUP: determină reconfigurarea auditd. Aceasta înseamnă că auditd recitește fișierul de configurare. Dacă nu există erori de sintaxă, va continua să implementeze modificările solicitate. Dacă reconfigurarea are succes, un eveniment DAEMON_CONFIG este înregistrat în jurnale. Dacă nu are succes, gestionarea erorilor este controlată de parametrii space_left_action, admin_space_left_action, disk_full_action și disk_error_action din auditd.conf.
SIGTERM: a determinat auditd să întrerupă procesarea evenimentelor de audit, să scrie un eveniment de audit de oprire și să iasă.
SIGUSR1: determină auditd să rotească imediat jurnalele; va consulta max_log_file_action pentru a vedea dacă trebuie să păstreze jurnalele sau nu.
SIGUSR2: determină auditd să încerce să reia înregistrarea și transmiterea evenimentelor către modulele de extensie. Acest lucru este de obicei necesar după suspendarea înregistrării sau după depășirea capacității cozii interne. Oricare dintre aceste condiții depinde de parametrii de configurare aplicabili.
SIGCONT: determină auditd să salveze un raport al stării interne în „/run/audit/auditd.state”.

CODURI DE IEȘIRE¶

1: Nu se poate regla prioritatea, demoniza, deschide audit netlink, scrie fișierul pid, porni modulele, rezolva numele mașinii, stabili audit pid sau alte sarcini de inițializare.
2: Argumente de linie de comandă nevalide sau excesive
4: Demonul de audit nu are privilegii suficiente
6: Există o eroare în fișierul de configurare.

FIȘIERE¶

/etc/audit/auditd.conf - fișier de configurare pentru demonul de audit

/etc/audit/audit.rules - reguli de auditare care trebuie încărcate la pornire

/etc/audit/rules.d/ - director care conține seturi individuale de reguli care vor fi compilate într-un singur fișier de către augenrules.

/etc/audit/plugins.d/ - director care conține fișiere individuale de configurare a modulelor.

/etc/audit/audit-stop.rules - aceste reguli sunt încărcate atunci când demonul de audit se oprește.

/run/audit/auditd.state - raport despre starea internă.

NOTE¶

Trebuie adăugat un parametru de pornire audit=1 pentru a se asigura că toate procesele care rulează înainte de pornirea demonului de audit sunt marcate ca fiind auditate de către nucleu. Dacă nu se face acest lucru, câteva procese nu vor putea fi auditate corespunzător.

Daemonul de audit poate primi evenimente de audit de la alți demoni de audit prin intermediul modulului audisp-remote. Daemonul de audit poate fi conectat cu tcp_wrappers pentru a controla ce mașini se pot conecta. În acest caz, puteți adăuga o intrare în hosts.allow și hosts.deny.

CONSULTAȚI ȘI¶

auditd.conf(5), auditd-plugins(5), ausearch(8), aureport(8), auditctl(8), augenrules(8), audit.rules(7).

AUTOR¶

Steve Grubb

TRADUCERE¶

Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>

Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE.

Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-ro@lists.sourceforge.net.

septembrie 2021

Red Hat

Source file:	auditd.8.ro.gz (from manpages-ro 4.30.0-1)
Source last updated:	2026-03-30T11:00:51Z
Converted to HTML:	2026-03-30T14:54:00Z