logo search
Книга по БД(Вальке А

7.4.3. Задание файлов, запуск и остановка механизма аудитинга

Задание файлов для записи протокола

Для протоколирования действий пользователей используются файлы. Одним из обязательных шагов по запуску системы аудитинга должно быть задание расположение файлов протокола. Файлы протокола - это обычные файлы ОС, куда включенный механизм аудитинга будет помещать записи о действиях пользователя. Аналитик по безопасности должен специфицировать директорию, где эти файлы будут располагаться.

Изначально файлы протокола располагаются в директории, на которую указывает параметр ADTPATH файла $INFORMIXDIR/aaodir/adtcnf. Если сразу после инсталляции сервера посмотреть на данный параметр, то он будет установлен в /tmp. Временная директория /tmp не самое удачное место для хранения файлов протокола. Можно поменять значение данного параметра, но это должно быть сделано до инициализации экземпляра сервера (то есть до выполнения команды oninit -i). Если не менять значение данного параметра, то указываемая им директория и будет первой директорией для файлов протокола. Поменять эту директорию можно после запуска механизма аудитинга командой

onaudit -p <директория>

например

onaudit -p /usr/audit

Если менанизм аудитинга не включен или на указываемую директорию аналитик по безопасности не имеет прав записи и чтения, то будет выдано сообщение об ошибке.

В директории, указанной для хранения протоколов будут автоматически создаваться файлы с названиями вида <имя сервера БД>.<порядковый номер>. В качестве имени сервера будет выступать значение параметра INFORMIXSERVER, а порядковый номер - просто номер файла протокола. Дело в том, что система аудитинга имеет ограничение по размеру файлов протокола (параметр ADTSIZE файла $INFORMIXDIR/aaodir/adtcnf) и по достижению очередного файла протокола произойдет автоматический переход на новый файл. Можно и принудительно перейти к следующему файлу протокола, выполнив команду

onaudit -n

Данная команда может быть выполнена только при включенном механизме аудитинга. Пример содержимого директории с протоколами для сервера по имени shm_ncr1:

# echo $INFORMIXSERVER shm_ncr1 # ls -l /usr/audit total 3 -rw-rw---- 1 informix ix_aao 234 Mar 5 12:41 shm_ncr1.0 -rw-rw---- 1 informix ix_aao 78 Mar 5 13:18 shm_ncr1.1 # onaudit -n Onaudit -- Audit Subsystem Configuration Utility Copyright (C) Informix Software, Inc., 1996 # ls -l total 5 -rw-rw---- 1 informix ix_aao 234 Mar 5 12:41 shm_ncr1.0 -rw-rw---- 1 informix ix_aao 78 Mar 5 13:18 shm_ncr1.1 -rw-rw---- 1 informix ix_aao 0 Mar 5 13:24 shm_ncr1.2

Включение и выключение механизма аудитинга.

Для того, чтобы узнать включен ли или выключен механизм аудитинга в данный момент времени, управляющий безопасностью может выполнить команду

onaudit -c

Данная команда, среди нескольких параметров, выдает и параметр ADTMODE. Этот параметр указывает на текущее состояние системы аудитинга. Если он равен 0, то механизм аудитинга выключен, никакого протоколирования не ведется. Если он находится в диапазоне от 1 до 8, то это означает, что механизм аудитинга включен:

# onaudit -c Onaudit -- Audit Subsystem Configuration Utility Copyright (C) Informix Software, Inc., 1996 Current audit system configuration: ADTMODE = 3 ADTERR = 0 ADTPATH = /usr/audit ADTSIZE = 50000 Audit file = 3

Разные значения параметра ADTMODE соответствуют разным уровням и способам протоколирования. Не вдаваясь в подробности, которые всегда можно найти в документации, будем считать что нам для нормального протоколирования нужен уровень “3”. Соответственно, перевод механизма аудитинга на данный уровень с другого уровня, или просто включение механизма аудитинга происходводится командой:

onaudit -l 3