# SOME DESCRIPTIVE TITLE # Copyright (C) YEAR The FreeBSD Project # This file is distributed under the same license as the FreeBSD Documentation package. # Vladlen Popolitov , 2025, 2026. msgid "" msgstr "" "Project-Id-Version: FreeBSD Documentation VERSION\n" "POT-Creation-Date: 2025-11-08 16:17+0000\n" "PO-Revision-Date: 2026-03-05 04:45+0000\n" "Last-Translator: Vladlen Popolitov \n" "Language-Team: Russian \n" "Language: ru\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" "Plural-Forms: nplurals=3; plural=n%10==1 && n%100!=11 ? 0 : n%10>=2 && " "n%10<=4 && (n%100<10 || n%100>=20) ? 1 : 2;\n" "X-Generator: Weblate 4.17\n" #. type: YAML Front Matter: description #: documentation/content/en/books/handbook/audit/_index.adoc:1 #, no-wrap msgid "FreeBSD security event auditing supports reliable, fine-grained, and configurable logging of a variety of security-relevant system events, including logins, configuration changes, and file and network access" msgstr "" "В FreeBSD поддерживается аудит событий безопасности, обеспечивающий " "надёжное, детализированное и настраиваемое журналирование различных " "системных событий, связанных с безопасностью, включая входы в систему, " "изменения конфигурации, а также доступ к файлам и сети" #. type: YAML Front Matter: part #: documentation/content/en/books/handbook/audit/_index.adoc:1 #, no-wrap msgid "Part III. System Administration" msgstr "Часть III. Администрирование системы" #. type: YAML Front Matter: title #: documentation/content/en/books/handbook/audit/_index.adoc:1 #, no-wrap msgid "Chapter 19. Security Event Auditing" msgstr "Глава 19. Аудит событий безопасности" #. type: Title = #: documentation/content/en/books/handbook/audit/_index.adoc:15 #, no-wrap msgid "Security Event Auditing" msgstr "Аудит событий безопасности" #. type: Title == #: documentation/content/en/books/handbook/audit/_index.adoc:53 #, no-wrap msgid "Synopsis" msgstr "Обзор" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:59 msgid "" "The FreeBSD operating system includes support for security event auditing. " "Event auditing supports reliable, fine-grained, and configurable logging of " "a variety of security-relevant system events, including logins, " "configuration changes, and file and network access. These log records can " "be invaluable for live system monitoring, intrusion detection, and " "postmortem analysis. FreeBSD implements Sun(TM)'s published Basic Security " "Module (BSM) Application Programming Interface (API) and file format, and is " "interoperable with the Solaris(TM) and Mac OS(R) X audit implementations." msgstr "" "Операционная система FreeBSD включает поддержку аудита событий безопасности. " "Аудит событий обеспечивает надёжное, детализированное и настраиваемое " "журналирование различных системных событий, связанных с безопасностью, " "включая входы в систему, изменения конфигурации, доступ к файлам и сети. Эти " "записи журнала могут быть неоценимыми для мониторинга системы в реальном " "времени, обнаружения вторжений и \"посмертного\" анализа после краха " "системы. FreeBSD реализует опубликованный Sun(TM) программный интерфейс " "Basic Security Module (BSM) и формат файлов, и также совместима с " "реализациями аудита Solaris(TM) и Mac OS(R) X." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:62 msgid "" "This chapter focuses on the installation and configuration of event " "auditing. It explains audit policies and provides an example audit " "configuration." msgstr "" "Эта глава посвящена установке и настройке аудита событий. В ней объясняются " "политики аудита и приводится пример конфигурации аудита." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:64 msgid "Read this chapter to learn:" msgstr "Прочтите эту главу, чтобы узнать:" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:66 msgid "What event auditing is and how it works." msgstr "Что такое аудит событий и как он работает." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:67 msgid "How to configure event auditing on FreeBSD for users and processes." msgstr "Как настроить аудит событий в FreeBSD для пользователей и процессов." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:68 msgid "" "How to review the audit trail using the audit reduction and review tools." msgstr "" "Как просмотреть журнал аудита с использованием инструментов сокращения и " "просмотра аудита." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:70 msgid "Before reading this chapter:" msgstr "Прежде чем читать эту главу, необходимо:" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:72 msgid "" "Understand UNIX(R) and FreeBSD basics (crossref:basics[basics,FreeBSD " "Basics])." msgstr "" "Понимать основы UNIX(R) и FreeBSD (crossref:basics[basics,Основы FreeBSD])." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:73 msgid "" "Be familiar with the basics of kernel configuration/compilation (crossref:" "kernelconfig[kernelconfig,Configuring the FreeBSD Kernel])." msgstr "" "Быть знакомым с основами настройки и компиляции ядра (crossref:" "kernelconfig[kernelconfig,Настройка ядра FreeBSD])." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:74 msgid "" "Have some familiarity with security and how it pertains to FreeBSD (crossref:" "security[security,Security])." msgstr "" "Иметь некоторое представление о безопасности и о том, как она относится к " "FreeBSD (crossref:security[security,Безопасность])." #. type: delimited block = 4 #: documentation/content/en/books/handbook/audit/_index.adoc:79 msgid "" "The audit facility has some known limitations. Not all security-relevant " "system events are auditable and some login mechanisms, such as Xorg-based " "display managers and third-party daemons, do not properly configure auditing " "for user login sessions." msgstr "" "У системы аудита есть несколько известных ограничений. Не все связанные с " "безопасностью системные события подлежат аудиту, а некоторые механизмы " "входа, такие как дисплейные менеджеры на основе Xorg и сторонние демоны, не " "настраивают аудит для сеансов пользовательского входа должным образом." #. type: delimited block = 4 #: documentation/content/en/books/handbook/audit/_index.adoc:84 msgid "" "The security event auditing facility is able to generate very detailed logs " "of system activity. On a busy system, trail file data can be very large " "when configured for high detail, exceeding gigabytes a week in some " "configurations. Administrators should take into account the disk space " "requirements associated with high volume audit configurations. For example, " "it may be desirable to dedicate a file system to [.filename]#/var/audit# so " "that other file systems are not affected if the audit file system becomes " "full." msgstr "" "Система аудита событий безопасности способна создавать очень подробные " "журналы активности системы. На загруженной системе данные файлов журналов " "могут быть очень большими при настройке высокой детализации, в некоторых " "конфигурациях превышая гигабайты в неделю. Администраторы должны учитывать " "требования к дисковому пространству, связанные с конфигурациями аудита с " "высоким объёмом данных. Например, может быть целесообразно выделить " "отдельную файловую систему для [.filename]#/var/audit#, чтобы другие " "файловые системы не пострадали, если файловая система аудита переполнится." #. type: Title == #: documentation/content/en/books/handbook/audit/_index.adoc:87 #, no-wrap msgid "Key Terms" msgstr "Ключевые термины" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:90 msgid "The following terms are related to security event auditing:" msgstr "Следующие термины связаны с аудитом событий безопасности:" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:92 msgid "" "_event_: an auditable event is any event that can be logged using the audit " "subsystem. Examples of security-relevant events include the creation of a " "file, the building of a network connection, or a user logging in. Events are " "either \"attributable\", meaning that they can be traced to an authenticated " "user, or \"non-attributable\". Examples of non-attributable events are any " "events that occur before authentication in the login process, such as bad " "password attempts." msgstr "" "_событие (event)_: аудируемое событие — это любое событие, которое может " "быть зарегистрировано с помощью подсистемы аудита. Примерами событий, " "связанных с безопасностью, являются создание файла, установка сетевого " "соединения или вход пользователя в систему. События могут быть " "\"приписываемые\", то есть их можно отследить до аутентифицированного " "пользователя, или \"неприписываемые\". Примерами неприписываемых событий " "являются любые события, происходящие до аутентификации в процессе входа в " "систему, например, неудачные попытки ввода пароля." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:93 msgid "" "_class_: a named set of related events which are used in selection " "expressions. Commonly used classes of events include \"file creation\" (fc), " "\"exec\" (ex), and \"login_logout\" (lo)." msgstr "" "_класс (class)_: именованный набор связанных событий, используемых в " "выражениях выбора. Распространённые классы событий включают \"создание файла" "\" (fc), \"выполнение\" (ex) и \"вход/выход\" (lo)." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:94 msgid "" "_record_: an audit log entry describing a security event. Records contain a " "record event type, information on the subject (user) performing the action, " "date and time information, information on any objects or arguments, and a " "success or failure condition." msgstr "" "_запись (record)_: запись в журнале аудита, описывающая событие " "безопасности. Записи содержат тип события, информацию о субъекте " "(пользователе), выполняющем действие, данные о дате и времени, информацию об " "объектах или аргументах, а также указание на успешность или неудачу " "выполнения." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:95 msgid "" "_trail_: a log file consisting of a series of audit records describing " "security events. Trails are in roughly chronological order with respect to " "the time events completed. Only authorized processes are allowed to commit " "records to the audit trail." msgstr "" "_журнал (trail)_: файл журнала, состоящий из серии записей аудита, " "описывающих события безопасности. Записи в журнале расположены в " "приблизительном хронологическом порядке относительно времени завершения " "событий. Только авторизованные процессы имеют право добавлять записи в " "журнал аудита." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:96 msgid "" "_selection expression_: a string containing a list of prefixes and audit " "event class names used to match events." msgstr "" "_выражение выбора (selection expression)_: строка, содержащая список " "префиксов и имён классов событий аудита, используемых для сопоставления " "событий." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:97 msgid "" "_preselection_: the process by which the system identifies which events are " "of interest to the administrator. The preselection configuration uses a " "series of selection expressions to identify which classes of events to audit " "for which users, as well as global settings that apply to both authenticated " "and unauthenticated processes." msgstr "" "_предварительный выбор (preselection)_: процесс, в ходе которого система " "определяет, какие события представляют интерес для администратора. " "Конфигурация предварительного отбора использует ряд выражений выбора для " "определения классов событий, подлежащих аудиту для конкретных пользователей, " "а также глобальные настройки, применяемые как к авторизованным, так и к " "неавторизованным процессам." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:98 msgid "" "_reduction_: the process by which records from existing audit trails are " "selected for preservation, printing, or analysis. Likewise, the process by " "which undesired audit records are removed from the audit trail. Using " "reduction, administrators can implement policies for the preservation of " "audit data. For example, detailed audit trails might be kept for one month, " "but after that, trails might be reduced in order to preserve only login " "information for archival purposes." msgstr "" "_фильтрация (reduction)_: процесс выбора записей из существующих журналов " "аудита для сохранения, печати или анализа. Аналогично, процесс удаления " "нежелательных записей аудита из журнала. Используя сокращение, " "администраторы могут реализовать политики сохранения данных аудита. " "Например, детальные журналы аудита могут храниться в течение одного месяца, " "но после этого они могут быть сокращены, чтобы сохранить только информацию о " "входах в систему для архивных целей." #. type: Title == #: documentation/content/en/books/handbook/audit/_index.adoc:100 #, no-wrap msgid "Audit Configuration" msgstr "Настройка аудита" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:104 msgid "" "User space support for event auditing is installed as part of the base " "FreeBSD operating system. Kernel support is available in the [." "filename]#GENERIC# kernel by default, and man:auditd[8] can be enabled by " "adding the following line to [.filename]#/etc/rc.conf#:" msgstr "" "Поддержка аудита событий в пользовательском пространстве устанавливается как " "часть базовой операционной системы FreeBSD. Поддержка на уровне ядра " "доступна в ядре [.filename]#GENERIC# по умолчанию, и man:auditd[8] может " "быть включен добавлением следующей строки в [.filename]#/etc/rc.conf#:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:108 #, no-wrap msgid "auditd_enable=\"YES\"\n" msgstr "auditd_enable=\"YES\"\n" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:111 msgid "Then, start the audit daemon:" msgstr "Затем запустите демон аудита:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:115 #, no-wrap msgid "# service auditd start\n" msgstr "# service auditd start\n" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:118 msgid "" "Users who prefer to compile a custom kernel must include the following line " "in their custom kernel configuration file:" msgstr "" "Пользователи, предпочитающие компилировать собственное ядро, должны включить " "следующую строку в файл конфигурации своего ядра:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:122 #, no-wrap msgid "options\tAUDIT\n" msgstr "options\tAUDIT\n" #. type: Title === #: documentation/content/en/books/handbook/audit/_index.adoc:124 #, no-wrap msgid "Event Selection Expressions" msgstr "Выражения выбора событий" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:129 msgid "" "Selection expressions are used in a number of places in the audit " "configuration to determine which events should be audited. Expressions " "contain a list of event classes to match. Selection expressions are " "evaluated from left to right, and two expressions are combined by appending " "one onto the other." msgstr "" "Выражения выбора используются в нескольких местах конфигурации аудита для " "определения, какие события должны аудироваться. Выражения содержат список " "классов событий для сопоставления. Выражения выбора вычисляются слева " "направо, а два выражения объединяются путем добавления одного к другому." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:131 msgid "" "crossref:audit[event-selection,Default Audit Event Classes] summarizes the " "default audit event classes:" msgstr "" "crossref:audit[event-selection,Классы событий аудита по умолчанию] содержит " "сводку классов событий аудита по умолчанию:" #. type: Block title #: documentation/content/en/books/handbook/audit/_index.adoc:133 #, no-wrap msgid "Default Audit Event Classes" msgstr "Классы событий аудита по умолчанию" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:137 #, no-wrap msgid "Class Name" msgstr "Имя класса" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:138 #, no-wrap msgid "Description" msgstr "Описание" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:140 #: documentation/content/en/books/handbook/audit/_index.adoc:233 #, no-wrap msgid "Action" msgstr "Действие" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:141 #: documentation/content/en/books/handbook/audit/_index.adoc:142 #, no-wrap msgid "all" msgstr "all" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:144 #, no-wrap msgid "Match all event classes." msgstr "Совпадает со всеми классами событий." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:145 #, no-wrap msgid "aa" msgstr "aa" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:146 #, no-wrap msgid "authentication and authorization" msgstr "authentication and authorization" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:149 #, no-wrap msgid "ad" msgstr "ad" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:150 #, no-wrap msgid "administrative" msgstr "administrative" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:152 #, no-wrap msgid "Administrative actions performed on the system as a whole." msgstr "Административные действия, выполняемые с системой в целом." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:153 #, no-wrap msgid "ap" msgstr "ap" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:154 #, no-wrap msgid "application" msgstr "application" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:156 #, no-wrap msgid "Application defined action." msgstr "Определенное приложением действие." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:157 #, no-wrap msgid "cl" msgstr "cl" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:158 #, no-wrap msgid "file close" msgstr "file close" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:160 #, no-wrap msgid "Audit calls to the `close` system call." msgstr "Аудит вызовов системного вызова `close`." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:161 #, no-wrap msgid "ex" msgstr "ex" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:162 #, no-wrap msgid "exec" msgstr "exec" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:164 #, no-wrap msgid "Audit program execution. Auditing of command line arguments and environmental variables is controlled via man:audit_control[5] using the `argv` and `envv` parameters to the `policy` setting." msgstr "Аудит выполнения программ. Аудит аргументов командной строки и переменных окружения контролируется через man:audit_control[5] с использованием параметров `argv` и `envv` в настройке `policy`." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:165 #, no-wrap msgid "fa" msgstr "fa" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:166 #, no-wrap msgid "file attribute access" msgstr "file attribute access" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:168 #, no-wrap msgid "Audit the access of object attributes such as man:stat[1] and man:pathconf[2]." msgstr "Аудит доступа к атрибутам объектов, таким как man:stat[1] и man:pathconf[2]." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:169 #, no-wrap msgid "fc" msgstr "fc" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:170 #, no-wrap msgid "file create" msgstr "file create" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:172 #, no-wrap msgid "Audit events where a file is created as a result." msgstr "События аудита, в результате которых создается файл." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:173 #, no-wrap msgid "fd" msgstr "fd" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:174 #, no-wrap msgid "file delete" msgstr "file delete" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:176 #, no-wrap msgid "Audit events where file deletion occurs." msgstr "Аудит событий, в которых происходит удаление файлов." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:177 #, no-wrap msgid "fm" msgstr "fm" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:178 #, no-wrap msgid "file attribute modify" msgstr "file attribute modify" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:180 #, no-wrap msgid "Audit events where file attribute modification occurs, such as by man:chown[8], man:chflags[1], and man:flock[2]." msgstr "События аудита, связанные с изменением атрибутов файлов, например, с помощью man:chown[8], man:chflags[1] и man:flock[2]." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:181 #, no-wrap msgid "fr" msgstr "fr" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:182 #, no-wrap msgid "file read" msgstr "file read" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:184 #, no-wrap msgid "Audit events in which data is read or files are opened for reading." msgstr "События аудита, в которых данные читаются или файлы открываются для чтения." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:185 #, no-wrap msgid "fw" msgstr "fw" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:186 #, no-wrap msgid "file write" msgstr "file write" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:188 #, no-wrap msgid "Audit events in which data is written or files are written or modified." msgstr "События аудита, в которых данные записываются или файлы создаются либо изменяются." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:189 #, no-wrap msgid "io" msgstr "io" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:190 #, no-wrap msgid "ioctl" msgstr "ioctl" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:192 #, no-wrap msgid "Audit use of the `ioctl` system call." msgstr "Контроль использования системного вызова `ioctl`." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:193 #, no-wrap msgid "ip" msgstr "ip" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:194 #, no-wrap msgid "ipc" msgstr "ipc" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:196 #, no-wrap msgid "Audit various forms of Inter-Process Communication, including POSIX pipes and System V IPC operations." msgstr "Аудит различных форм межпроцессного взаимодействия, включая POSIX-каналы и операции System V IPC." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:197 #, no-wrap msgid "lo" msgstr "lo" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:198 #, no-wrap msgid "login_logout" msgstr "login_logout" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:200 #, no-wrap msgid "Audit man:login[1] and man:logout[1] events." msgstr "Audit man:login[1] и man:logout[1] события." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:201 #, no-wrap msgid "na" msgstr "na" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:202 #, no-wrap msgid "non attributable" msgstr "non attributable" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:204 #, no-wrap msgid "Audit non-attributable events." msgstr "Аудит неприписываемых событий." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:205 #, no-wrap msgid "no" msgstr "no" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:206 #, no-wrap msgid "invalid class" msgstr "ошибочный класс" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:208 #, no-wrap msgid "Match no audit events." msgstr "Не соответствует ни одному событию аудита." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:209 #, no-wrap msgid "nt" msgstr "nt" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:210 #, no-wrap msgid "network" msgstr "network" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:212 #, no-wrap msgid "Audit events related to network actions such as man:connect[2] and man:accept[2]." msgstr "События аудита, связанные с сетевыми действиями, такими как man:connect[2] и man:accept[2]." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:213 #, no-wrap msgid "ot" msgstr "ot" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:214 #, no-wrap msgid "other" msgstr "other" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:216 #, no-wrap msgid "Audit miscellaneous events." msgstr "Аудит различных событий." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:217 #, no-wrap msgid "pc" msgstr "pc" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:218 #, no-wrap msgid "process" msgstr "process" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:219 #, no-wrap msgid "Audit process operations such as man:exec[3] and man:exit[3]." msgstr "Аудит операций процессов, таких как man:exec[3] и man:exit[3]." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:222 msgid "" "These audit event classes may be customized by modifying the [." "filename]#audit_class# and [.filename]#audit_event# configuration files." msgstr "" "Эти классы событий аудита могут быть настроены путем изменения " "конфигурационных файлов [.filename]#audit_class# и [.filename]#audit_event#." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:225 msgid "" "Each audit event class may be combined with a prefix indicating whether " "successful/failed operations are matched, and whether the entry is adding or " "removing matching for the class and type. crossref:audit[event-prefixes," "Prefixes for Audit Event Classes] summarizes the available prefixes:" msgstr "" "Каждый класс событий аудита может быть объединен с префиксом, указывающим, " "соответствуют ли успешные/неудачные операции, и добавляется или удаляется " "запись для соответствия классу и типу. В crossref:audit[event-prefixes," "Префиксы для классов событий аудита] приведены доступные префиксы:" #. type: Block title #: documentation/content/en/books/handbook/audit/_index.adoc:227 #, no-wrap msgid "Prefixes for Audit Event Classes" msgstr "Префиксы для классов событий аудита" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:231 #, no-wrap msgid "Prefix" msgstr "Префикс" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:234 #, no-wrap msgid "+" msgstr "+" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:236 #, no-wrap msgid "Audit successful events in this class." msgstr "Аудит успешных событий в этом классе." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:237 #, no-wrap msgid "-" msgstr "-" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:239 #, no-wrap msgid "Audit failed events in this class." msgstr "Аудит неудачных событий в этом классе." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:240 #, no-wrap msgid "^" msgstr "^" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:242 #, no-wrap msgid "Audit neither successful nor failed events in this class." msgstr "Не аудировать ни успешные, ни неудачные события в этом классе." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:243 #, no-wrap msgid "^+" msgstr "^+" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:245 #, no-wrap msgid "Do not audit successful events in this class." msgstr "Не аудировать успешные события в данном классе." #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:246 #, no-wrap msgid "^-" msgstr "^-" #. type: Table #: documentation/content/en/books/handbook/audit/_index.adoc:247 #, no-wrap msgid "Do not audit failed events in this class." msgstr "Не аудировать неудачные события в этом классе." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:250 msgid "" "If no prefix is present, both successful and failed instances of the event " "will be audited." msgstr "" "Если префикс отсутствует, будут аудироваться как успешные, так и неудачные " "экземпляры события." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:252 msgid "" "The following example selection string selects both successful and failed " "login/logout events, but only successful execution events:" msgstr "" "Следующая строка выбора выбирает как успешные, так и неудачные события входа/" "выхода, но только успешные события выполнения:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:256 #, no-wrap msgid "lo,+ex\n" msgstr "lo,+ex\n" #. type: Title === #: documentation/content/en/books/handbook/audit/_index.adoc:258 #, no-wrap msgid "Configuration Files" msgstr "Файлы конфигурации" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:261 msgid "" "The following configuration files for security event auditing are found in [." "filename]#/etc/security#:" msgstr "" "В каталоге [.filename]#/etc/security# находятся следующие файлы конфигурации " "для аудита событий безопасности:" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:263 msgid "" "[.filename]#audit_class#: contains the definitions of the audit classes." msgstr "[.filename]#audit_class#: содержит определения классов аудита." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:264 msgid "" "[.filename]#audit_control#: controls aspects of the audit subsystem, such as " "default audit classes, minimum disk space to leave on the audit log volume, " "and maximum audit trail size." msgstr "" "[.filename]#audit_control#: управляет аспектами подсистемы аудита, такими " "как классы аудита по умолчанию, минимальное свободное место на томе с " "журналом аудита и максимальный размер журнала аудита." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:265 msgid "" "[.filename]#audit_event#: textual names and descriptions of system audit " "events and a list of which classes each event is in." msgstr "" "[.filename]#audit_event#: текстовые названия и описания системных событий " "аудита, а также список классов, к которым относится каждое событие." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:266 msgid "" "[.filename]#audit_user#: user-specific audit requirements to be combined " "with the global defaults at login." msgstr "" "[.filename]#audit_user#: пользовательские требования аудита, которые " "объединяются с глобальными настройками по умолчанию при входе в систему." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:267 msgid "" "[.filename]#audit_warn#: a customizable shell script used by man:auditd[8] " "to generate warning messages in exceptional situations, such as when space " "for audit records is running low or when the audit trail file has been " "rotated." msgstr "" "[.filename]#audit_warn#: настраиваемый сценарий оболочки, используемый man:" "auditd[8] для генерации предупреждающих сообщений в исключительных " "ситуациях, например, когда заканчивается место для записей аудита или когда " "файл журнала аудита был перезаписан." #. type: delimited block = 4 #: documentation/content/en/books/handbook/audit/_index.adoc:271 msgid "" "Audit configuration files should be edited and maintained carefully, as " "errors in configuration may result in improper logging of events." msgstr "" "Файлы конфигурации аудита следует редактировать и поддерживать тщательно, " "так как ошибки в конфигурации могут привести к некорректной записи событий." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:275 msgid "" "In most cases, administrators will only need to modify [." "filename]#audit_control# and [.filename]#audit_user#. The first file " "controls system-wide audit properties and policies and the second file may " "be used to fine-tune auditing by user." msgstr "" "В большинстве случаев администраторам потребуется изменить только файлы [." "filename]#audit_control# и [.filename]#audit_user#. Первый файл управляет " "системными настройками и политиками аудита, а второй может использоваться " "для тонкой настройки аудита по пользователям." #. type: Title ==== #: documentation/content/en/books/handbook/audit/_index.adoc:277 #, no-wrap msgid "The [.filename]#audit_control# File" msgstr "Файл [.filename]#audit_control#" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:280 msgid "" "A number of defaults for the audit subsystem are specified in [." "filename]#audit_control#:" msgstr "" "Некоторые параметры подсистемы аудита по умолчанию указаны в файле [." "filename]#audit_control#:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:291 #, no-wrap msgid "" "dir:/var/audit\n" "dist:off\n" "flags:lo,aa\n" "minfree:5\n" "naflags:lo,aa\n" "policy:cnt,argv\n" "filesz:2M\n" "expire-after:10M\n" msgstr "" "dir:/var/audit\n" "dist:off\n" "flags:lo,aa\n" "minfree:5\n" "naflags:lo,aa\n" "policy:cnt,argv\n" "filesz:2M\n" "expire-after:10M\n" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:296 msgid "" "The `dir` entry is used to set one or more directories where audit logs will " "be stored. If more than one directory entry appears, they will be used in " "order as they fill. It is common to configure audit so that audit logs are " "stored on a dedicated file system, in order to prevent interference between " "the audit subsystem and other subsystems if the file system fills." msgstr "" "Запись `dir` используется для указания одного или нескольких каталогов, в " "которых будут храниться журналы аудита. Если указано несколько каталогов, " "они будут использоваться по очереди по мере заполнения. Обычно настраивают " "аудит так, чтобы журналы хранились на выделенной файловой системе — это " "предотвращает конфликты между подсистемой аудита и другими подсистемами при " "заполнении файловой системы." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:298 msgid "" "If the `dist` field is set to `on` or `yes`, hard links will be created to " "all trail files in [.filename]#/var/audit/dist#." msgstr "" "Если поле `dist` установлено в `on` или `yes`, жёсткие ссылки будут созданы " "для всех файлов журнала в [.filename]#/var/audit/dist#." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:301 msgid "" "The `flags` field sets the system-wide default preselection mask for " "attributable events. In the example above, successful and failed login/" "logout events as well as authentication and authorization are audited for " "all users." msgstr "" "Поле `flags` устанавливает системную маску предварительного выбора по " "умолчанию для учитываемых событий. В приведённом примере аудиту подлежат " "успешные и неудачные события входа/выхода, а также аутентификация и " "авторизация для всех пользователей." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:303 msgid "" "The `minfree` entry defines the minimum percentage of free space for the " "file system where the audit trail is stored." msgstr "" "Запись `minfree` определяет минимальный процент свободного места в файловой " "системе, где хранится журнал аудита." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:305 msgid "" "The `naflags` entry specifies audit classes to be audited for non-attributed " "events, such as the login/logout process and authentication and " "authorization." msgstr "" "Запись `naflags` определяет классы аудита для событий без атрибутов, таких " "как процесс входа/выхода, аутентификация и авторизация." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:309 msgid "" "The `policy` entry specifies a comma-separated list of policy flags " "controlling various aspects of audit behavior. The `cnt` indicates that the " "system should continue running despite an auditing failure (this flag is " "highly recommended). The other flag, `argv`, causes command line arguments " "to the man:execve[2] system call to be audited as part of command execution." msgstr "" "Запись `policy` определяет список флагов политики, разделённых запятыми, " "которые контролируют различные аспекты поведения аудита. Флаг `cnt` " "указывает, что система должна продолжать работу, несмотря на сбой аудита " "(этот флаг настоятельно рекомендуется). Другой флаг, `argv`, приводит к " "аудиту аргументов командной строки системного вызова man:execve[2] как части " "выполнения команды." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:313 msgid "" "The `filesz` entry specifies the maximum size for an audit trail before " "automatically terminating and rotating the trail file. A value of `0` " "disables automatic log rotation. If the requested file size is below the " "minimum of 512k, it will be ignored and a log message will be generated." msgstr "" "`filesz` указывает максимальный размер файла аудита перед автоматическим " "завершением и ротацией файла. Значение `0` отключает автоматическую ротацию " "логов. Если запрашиваемый размер файла меньше минимального значения в 512k, " "он будет проигнорирован, и будет сгенерировано сообщение в логе." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:315 msgid "" "The `expire-after` field specifies when audit log files will expire and be " "removed." msgstr "" "Поле `expire-after` указывает, когда файлы журналов аудита устареют и будут " "удалены." #. type: Title ==== #: documentation/content/en/books/handbook/audit/_index.adoc:317 #, no-wrap msgid "The [.filename]#audit_user# File" msgstr "Файл [.filename]#audit_user#" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:321 msgid "" "The administrator can specify further audit requirements for specific users " "in [.filename]#audit_user#. Each line configures auditing for a user via " "two fields: the `alwaysaudit` field specifies a set of events that should " "always be audited for the user, and the `neveraudit` field specifies a set " "of events that should never be audited for the user." msgstr "" "Администратор может указать дополнительные требования аудита для конкретных " "пользователей в файле [.filename]#audit_user#. Каждая строка настраивает " "аудит для пользователя с помощью двух полей: поле `alwaysaudit` определяет " "набор событий, которые всегда должны аудироваться для пользователя, а поле " "`neveraudit` определяет набор событий, которые никогда не должны " "аудироваться для пользователя." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:324 msgid "" "The following example entries audit login/logout events and successful " "command execution for `root` and file creation and successful command " "execution for `www`. If used with the default [.filename]#audit_control#, " "the `lo` entry for `root` is redundant, and login/logout events will also be " "audited for `www`." msgstr "" "Следующие примеры записей аудита фиксируют события входа/выхода и успешного " "выполнения команд для пользователя `root`, а также создание файлов и " "успешное выполнение команд для пользователя `www`. Если используется файл [." "filename]#audit_control# по умолчанию, запись `lo` для `root` избыточна, и " "события входа/выхода также будут фиксироваться для `www`." #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:329 #, no-wrap msgid "" "root:lo,+ex:no\n" "www:fc,+ex:no\n" msgstr "" "root:lo,+ex:no\n" "www:fc,+ex:no\n" #. type: Title == #: documentation/content/en/books/handbook/audit/_index.adoc:332 #, no-wrap msgid "Working with Audit Trails" msgstr "Работа с журналами аудита" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:338 msgid "" "Since audit trails are stored in the BSM binary format, several built-in " "tools are available to modify or convert these trails to text. To convert " "trail files to a simple text format, use `praudit`. To reduce the audit " "trail file for analysis, archiving, or printing purposes, use " "`auditreduce`. This utility supports a variety of selection parameters, " "including event type, event class, user, date or time of the event, and the " "file path or object acted on." msgstr "" "Поскольку записи аудита хранятся в двоичном формате BSM, для их изменения " "или преобразования в текстовый формат доступны встроенные инструменты. Для " "преобразования файлов записей в простой текстовый формат используйте " "`praudit`. Для сокращения файла записей аудита с целью анализа, " "архивирования или печати используйте `auditreduce`. Эта утилита поддерживает " "различные параметры выбора, включая тип события, класс события, " "пользователя, дату или время события, а также путь к файлу или объект, над " "которым выполнялось действие." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:340 msgid "" "For example, to dump the entire contents of a specified audit log in plain " "text:" msgstr "" "Например, чтобы вывести всё содержимое указанного журнала аудита в виде " "обычного текста:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:344 #, no-wrap msgid "# praudit /var/audit/AUDITFILE\n" msgstr "# praudit /var/audit/AUDITFILE\n" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:347 msgid "Where _AUDITFILE_ is the audit log to dump." msgstr "Где _AUDITFILE_ — файл журнала аудита для дампа." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:351 msgid "" "Audit trails consist of a series of audit records made up of tokens, which " "`praudit` prints sequentially, one per line. Each token is of a specific " "type, such as `header` (an audit record header) or `path` (a file path from " "a name lookup). The following is an example of an `execve` event:" msgstr "" "Журналы аудита состоят из последовательности записей аудита, сформированных " "из токенов, которые `praudit` выводит последовательно, по одному на строку. " "Каждый токен имеет определённый тип, например, `header` (заголовок записи " "аудита) или `path` (путь к файлу из поиска по имени). Ниже приведён пример " "события `execve`:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:361 #, no-wrap msgid "" "header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec\n" "exec arg,finger,doug\n" "path,/usr/bin/finger\n" "attribute,555,root,wheel,90,24918,104944\n" "subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100\n" "return,success,0\n" "trailer,133\n" msgstr "" "header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec\n" "exec arg,finger,doug\n" "path,/usr/bin/finger\n" "attribute,555,root,wheel,90,24918,104944\n" "subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100\n" "return,success,0\n" "trailer,133\n" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:370 msgid "" "This audit represents a successful `execve` call, in which the command " "`finger doug` has been run. The `exec arg` token contains the processed " "command line presented by the shell to the kernel. The `path` token holds " "the path to the executable as looked up by the kernel. The `attribute` " "token describes the binary and includes the file mode. The `subject` token " "stores the audit user ID, effective user ID and group ID, real user ID and " "group ID, process ID, session ID, port ID, and login address. Notice that " "the audit user ID and real user ID differ as the user `robert` switched to " "the `root` account before running this command, but it is audited using the " "original authenticated user. The `return` token indicates the successful " "execution and the `trailer` concludes the record." msgstr "" "Этот аудит представляет успешный вызов `execve`, в котором была выполнена " "команда `finger doug`. Токен `exec arg` содержит обработанную командную " "строку, переданную оболочкой ядру. Токен `path` содержит путь к исполняемому " "файлу, найденный ядром. Токен `attribute` описывает бинарный файл и включает " "режим файла. Токен `subject` хранит идентификатор пользователя для аудита, " "эффективные идентификаторы пользователя и группы, реальные идентификаторы " "пользователя и группы, идентификатор процесса, идентификатор сессии, " "идентификатор порта и адрес входа. Обратите внимание, что аудитный " "идентификатор пользователя и реальный идентификатор пользователя " "различаются, так как пользователь `robert` переключился на учётную запись " "`root` перед выполнением этой команды, но аудит ведется с использованием " "исходного аутентифицированного пользователя. Токен `return` указывает на " "успешное выполнение, а `trailer` завершает запись." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:372 msgid "" "XML output format is also supported and can be selected by including `-x`." msgstr "" "Также поддерживается формат вывода XML, и он может быть выбран добавлением " "опции `-x`." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:375 msgid "" "Since audit logs may be very large, a subset of records can be selected " "using `auditreduce`. This example selects all audit records produced for " "the user `trhodes` stored in [.filename]#AUDITFILE#:" msgstr "" "Поскольку журналы аудита могут быть очень большими, можно выбрать " "подмножество записей с помощью `auditreduce`. В этом примере выбираются все " "записи аудита, созданные для пользователя `trhodes`, хранящиеся в [." "filename]#AUDITFILE#:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:379 #, no-wrap msgid "# auditreduce -u trhodes /var/audit/AUDITFILE | praudit\n" msgstr "# auditreduce -u trhodes /var/audit/AUDITFILE | praudit\n" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:385 msgid "" "Members of the `audit` group have permission to read audit trails in [." "filename]#/var/audit#. By default, this group is empty, so only the `root` " "user can read audit trails. Users may be added to the `audit` group in " "order to delegate audit review rights. As the ability to track audit log " "contents provides significant insight into the behavior of users and " "processes, it is recommended that the delegation of audit review rights be " "performed with caution." msgstr "" "Участники группы `audit` имеют право читать журналы аудита в [.filename]#/" "var/audit#. По умолчанию эта группа пуста, поэтому только пользователь `root`" " может читать журналы аудита. Пользователи могут быть добавлены в группу " "`audit` для делегирования прав просмотра аудита. Поскольку возможность " "отслеживать содержимое журналов аудита даёт значительное представление о " "поведении пользователей и процессов, рекомендуется делегировать права " "просмотра аудита с осторожностью." #. type: Title === #: documentation/content/en/books/handbook/audit/_index.adoc:386 #, no-wrap msgid "Live Monitoring Using Audit Pipes" msgstr "Мониторинг в реальном времени с использованием потоков аудита" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:392 msgid "" "Audit pipes are cloning pseudo-devices which allow applications to tap the " "live audit record stream. This is primarily of interest to authors of " "intrusion detection and system monitoring applications. However, the audit " "pipe device is a convenient way for the administrator to allow live " "monitoring without running into problems with audit trail file ownership or " "log rotation interrupting the event stream. To track the live audit event " "stream:" msgstr "" "Каналы аудита (audit pipe) являются клонируемыми псевдоустройствами, которые " "позволяют приложениям получать доступ к потоку записей аудита в реальном " "времени. В первую очередь это интересно разработчикам систем обнаружения " "вторжений и мониторинга. Однако устройство канала аудита — это удобный " "способ для администратора организовать мониторинг в реальном времени без " "проблем с правами владения файлами аудита или прерывания потока событий из-" "за ротации логов. Для отслеживания живого потока событий аудита:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:396 #, no-wrap msgid "# praudit /dev/auditpipe\n" msgstr "# praudit /dev/auditpipe\n" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:400 msgid "" "By default, audit pipe device nodes are accessible only to the `root` user. " "To make them accessible to the members of the `audit` group, add a `devfs` " "rule to [.filename]#/etc/devfs.rules#:" msgstr "" "По умолчанию узлы устройств каналов аудита доступны только пользователю " "`root`. Чтобы сделать их доступными для членов группы `audit`, добавьте " "правило `devfs` в [.filename]#/etc/devfs.rules#:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:404 #, no-wrap msgid "add path 'auditpipe*' mode 0440 group audit\n" msgstr "add path 'auditpipe*' mode 0440 group audit\n" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:407 msgid "" "See man:devfs.rules[5] for more information on configuring the devfs file " "system." msgstr "" "За дополнительной информацией о настройке файловой системы devfs см. man:" "devfs.rules[5]." #. type: delimited block = 4 #: documentation/content/en/books/handbook/audit/_index.adoc:413 msgid "" "It is easy to produce audit event feedback cycles, in which the viewing of " "each audit event results in the generation of more audit events. For " "example, if all network I/O is audited, and `praudit` is run from an SSH " "session, a continuous stream of audit events will be generated at a high " "rate, as each event being printed will generate another event. For this " "reason, it is advisable to run `praudit` on an audit pipe device from " "sessions without fine-grained I/O auditing." msgstr "" "Легко создать циклы обратной связи с событиями аудита, когда просмотр " "каждого события аудита приводит к генерации новых событий аудита. Например, " "если аудируется весь сетевой ввод-вывод, и `praudit` запускается из сессии " "SSH, будет создаваться непрерывный поток событий аудита с высокой скоростью, " "так как каждое выводимое событие будет генерировать новое событие. По этой " "причине рекомендуется запускать `praudit` на устройстве аудит-канала из " "сеансов без детального аудита ввода-вывода." #. type: Title === #: documentation/content/en/books/handbook/audit/_index.adoc:415 #, no-wrap msgid "Rotating and Compressing Audit Trail Files" msgstr "Ротация и сжатие файлов журнала аудита" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:422 msgid "" "Audit trails are written to by the kernel and managed by the audit daemon, " "man:auditd[8]. Administrators should not attempt to use man:newsyslog." "conf[5] or other tools to directly rotate audit logs. Instead, `audit` " "should be used to shut down auditing, reconfigure the audit system, and " "perform log rotation. The following command causes the audit daemon to " "create a new audit log and signal the kernel to switch to using the new " "log. The old log will be terminated and renamed, at which point it may then " "be manipulated by the administrator:" msgstr "" "Журналы аудита создаются ядром и управляются демоном аудита man:auditd[8]. " "Администраторам не следует пытаться использовать man:newsyslog.conf[5] или " "другие инструменты для непосредственной ротации журналов аудита. Вместо " "этого следует использовать `audit` для остановки аудита, переконфигурации " "системы аудита и выполнения ротации журналов. Следующая команда заставляет " "демон аудита создать новый журнал аудита и передать ядру сигнал о переходе " "на использование нового журнала. Старый журнал будет завершен и " "переименован, после чего администратор может выполнить с ним необходимые " "действия:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:426 #, no-wrap msgid "# audit -n\n" msgstr "# audit -n\n" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:429 msgid "" "If man:auditd[8] is not currently running, this command will fail and an " "error message will be produced." msgstr "" "Если man:auditd[8] в данный момент не запущен, эта команда завершится " "ошибкой и будет выведено сообщение об ошибке." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:431 msgid "" "Adding the following line to [.filename]#/etc/crontab# will schedule this " "rotation every twelve hours:" msgstr "" "Добавление следующей строки в [.filename]#/etc/crontab# позволит выполнять " "эту ротацию каждые двенадцать часов:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:435 #, no-wrap msgid "0 */12 * * * root /usr/sbin/audit -n\n" msgstr "0 */12 * * * root /usr/sbin/audit -n\n" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:438 msgid "The change will take effect once [.filename]#/etc/crontab# is saved." msgstr "" "Изменение вступит в силу после сохранения файла [.filename]#/etc/crontab#." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:442 msgid "" "Automatic rotation of the audit trail file based on file size is possible " "using `filesz` in [.filename]#audit_control# as described in crossref:" "audit[audit-auditcontrol, The audit_control File]." msgstr "" "Автоматическая ротация файла журнала аудита на основе размера файла возможна " "с использованием `filesz` в [.filename]#audit_control#, как описано в " "crossref:audit[audit-auditcontrol,Файл audit_control]." #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:446 msgid "" "As audit trail files can become very large, it is often desirable to " "compress or otherwise archive trails once they have been closed by the audit " "daemon. The [.filename]#audit_warn# script can be used to perform " "customized operations for a variety of audit-related events, including the " "clean termination of audit trails when they are rotated. For example, the " "following may be added to [.filename]#/etc/security/audit_warn# to compress " "audit trails on close:" msgstr "" "Поскольку файлы журналов аудита могут становиться очень большими, часто " "возникает необходимость сжимать или архивировать их после закрытия демоном " "аудита. Скрипт [.filename]#audit_warn# можно использовать для выполнения " "пользовательских операций при различных событиях, связанных с аудитом, " "включая корректное завершение журналов при их ротации. Например, следующее " "можно добавить в [.filename]#/etc/security/audit_warn# для сжатия журналов " "аудита после закрытия:" #. type: delimited block . 4 #: documentation/content/en/books/handbook/audit/_index.adoc:455 #, no-wrap msgid "" "#\n" "# Compress audit trail files on close.\n" "#\n" "if [ \"$1\" = closefile ]; then\n" " gzip -9 $2\n" "fi\n" msgstr "" "#\n" "# Compress audit trail files on close.\n" "#\n" "if [ \"$1\" = closefile ]; then\n" " gzip -9 $2\n" "fi\n" #. type: Plain text #: documentation/content/en/books/handbook/audit/_index.adoc:459 msgid "" "Other archiving activities might include copying trail files to a " "centralized server, deleting old trail files, or reducing the audit trail to " "remove unneeded records. This script will be run only when audit trail " "files are cleanly terminated. It will not be run on trails left " "unterminated following an improper shutdown." msgstr "" "Другие действия по архивированию могут включать копирование файлов журналов " "на централизованный сервер, удаление старых файлов журналов или сокращение " "журнала аудита для удаления ненужных записей. Этот скрипт будет выполняться " "только тогда, когда файлы журналов аудита корректно завершены. Он не будет " "выполняться для журналов, оставшихся незавершёнными после некорректного " "завершения работы."