Логи и аудит

Функция системного журналирования (логирование) — это основной источник информации о работе системы и ошибках. В системе Linux почти все действия записываются. Именно эти данные помогают разбираться в проблемах с ОС. Логи могут храниться как локально, так и пересылаться на удаленную систему.

Пересылка логов имеет следующие плюсы:

• Возможность централизованного сбора и анализа логов (все логи со всех устройств прилетают в одно место. Это значительно упростит работу с логами)
• Защита от удаления логов на локальной машине
• Оптимизация места на диске в локальной ОС (логи не будут храниться в ОС, т.к. будут сразу пересылаться в систему сбора логов. Данная функция настраиватся отдельно)

В ОС Linux главным файлом локального журналирования является: Ubuntu/Debian — /var/log/syslog RHEL/CentOS — /var/log/messages

Помимо логов, в Unix-системах используют аудит. В linux эту функцию выполняет linux audit daemon.

Linux Audit Daemon - это среда, позволяющая проводить аудит событий в системе Linux. Используя мощную систему аудита возможно отслеживать многие типы событий для мониторинга и проверки системы, например:

• доступ к файлам;
• изменение прав на файлы;
• просмотр пользователей, изменивших конкретный файл;
• обнаружение несанкционированных изменений;
• мониторинг системных вызовов и функций;
• обнаружение аномалий, таких как сбои;
• мониторинг набора команд.

Аудит различает 4 вида доступа к файлу:

• r — чтение
• w — запись в файл
• x — выполнение файла
• a — изменение атрибута