Proceso auditd en GNU/Linux

En concreto, en la distribución de Red Hat. Este proceso, cuyo ejecutable se sitúa en /sbin/auditd, recolecta registros de auditoría del sistema generados por el núcleo y los escribe a disco, normalmente (y por defecto), en modo binario. Estos ficheros pueden ser dos o más, tienen un tamaño fijo y se escribe en ellos de forma cíclica. Están localizados en /var/log/audit.d y tienen el nombre bin.N (dónde N es un número).

La única forma de leer estos ficheros binarios es con la utilidad ‘aucat‘; con ella se visualiza el contenido del fichero donde se está escribiendo en el momento actual. La forma de usarlo sería la siguiente:

aucat -f bin.0

La configuración se encuentra en /etc/audit/audit.conf. En éste existe una entrada, etiquetada como notify que especifica qué comando ejecutar cuando se ha llenado uno de los ficheros binarios de log y el proceso auditd comienza (o mejor dicho, va a comenzar) a escribir en el siguiente.  En nuestro caso, una parte de ese audit.conf sería la siguiente:

output {
mode            = bin;
num-files       = 4;
file-size       = 20M;
file-name       = “/var/log/audit.d/bin”;
notify          = “/usr/sbin/audbin -S /var/log/audit.d/save.%u -C”;

# The following symlink is created whenever we switch to
# a new bin.
current         = “/var/log/audit”;

sync            = no;
error {
action {
type = suspend;
};
};
};

Lo más destacable de esa configuración es el parámetro mode (que se observa está en binario), num-files (indica el número de ficheros en los que se va a escribir de forma cíclica), file-size (tamaño de los ficheros) y notify. En este caso, lo que se hace es crear un fichero save.N (siendo N un número) cada vez que se llena uno de los bin.% con el contenido de éste.  Esto último quiere decir que se va creando un fichero de 20Mb cada vez que se llena uno de los bin.%, lo cual implica que hay que estar pendiente del tamaño del sistema de ficheros (en nuestro caso, /var), porque dependiendo de la actividad del sistema puede que se llene rápidamente.

2 Responses to Proceso auditd en GNU/Linux

  1. mauricio dice:

    Estimado, si se me llena el disco puedo borrar los save.N indiscriminadamente?? Gracias por tu tiempo.

    • jop89s dice:

      No hay ningún problema en borrar los save.N (ó save.*). De hecho, es algo que yo hago cada cierto tiempo precisamente para evitar ese problema.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: