Логи и AUE_create_user
- From
- Iouri Goussev (2:5008/9.2)
- To
- Stanislav Oles
- Date
- 2005-06-23T00:54:16Z
- Area
- RU.UNIX.SOLARIS
Hello Stanislav.
13 Jun 05 21:11, you wrote to all:
http://bugs.opensolaris.org/bugdatabase/view_bug.do?bug_id=4619604
State: In progress, request for enhancement
SO> From: Stanislav Oles <dino@library.ntu-kpi.kiev.ua>
SO> Вот возник такой вопрос - чайнический, поскольку с солярисом почти не
SO> знаком. Есть машина, на ней время от времени запускаются всякие
SO> useradd, usermod и userdel. Требуется - включить для них полное
SO> протоколирование.
SO> То есть на данный момент, конечно, в логах пишется, что "произошёл
SO> такой-то execve", и имя комманды как параметр хранится. Но это запись
SO> с типом AUE_EXECVE.
SO> А ещё у соляриса есть более специфические типы - AUE_create_user,
SO> AUE_delete_user и т.д. - так вот этих записей почему-то в логах нет. А
SO> требуются.
SO> Вот что про них написано в /etc/security/audit_event:
SO> 6207:AUE_create_user:create user:ua
SO> 6208:AUE_modify_user:modify user:ua
SO> 6209:AUE_delete_user:delete user:ua
SO> В /etc/security/audit_class, соответственно, задан этот класс ('ua'):
SO> 0x00040000:ua:user administration
SO> А в /etc/security/audit_control были такие настройки:
SO> flags:ua,fd,pc,ad,lo,io,ex,na,-fm,-fc,-nt,-ip
SO> naflags:ua,fd,pc,ad,lo,io,ex,na,-fm,-fc,-nt,-ip
SO> и с ними не работает. И не работает даже с такими:
SO> flags:all
SO> naflags:all
SO> В общем, такое ощущение, что я то ли чего-то не понимаю в этой схеме,
SO> то ли где-то что-то не включил. Помогите, плз.
SO> PS. bsmconv запускался.
SO> WBR, Dino. [ r7.org.ru ]
SO> --- ifmail v.2.15dev5.3
SO> * Origin: NTUU "KPI" (2:5020/400)
Iouri
--- GoldED+/W32 1.1.4.7
* Origin: ----> Default GoldED Origin <---- (2:5008/9.2)
SEEN-BY: 46/50 50/203 450/186 247 1024 451/30 5000/5000 5001/5001 5003/9
SEEN-BY: 5008/9 5011/13 5015/10 5020/52 175 400 545 715 758 937 1042 1523 1604
SEEN-BY: 5020/2020 2238 4441 5021/29 5022/128 5025/3 750 5026/45 5027/16
SEEN-BY: 5030/49 115 556 966 1900 1957 5031/72 5035/38 5054/1 4 8 9 28 35 37
SEEN-BY: 5061/120 5062/1 10 5064/7 5067/2 5069/7 5070/1222 5080/80 1003 5082/6
SEEN-BY: 5083/21 5085/13 5090/113 5095/20 5096/18 6000/254
�PATH: 5008/9 5070/1222 5020/4441 545 5054/1 37