PERFORCE change 141969 for review
Remko Lodder
remko at FreeBSD.org
Wed May 21 09:38:51 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=141969
Change 141969 by remko at remko_guardian on 2008/05/21 09:37:50
Stylify the chapter, more review needed (language)
Facilitated by: Snow B.V.
Affected files ...
.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#5 edit
Differences ...
==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#5 (text+ko) ====
@@ -77,7 +77,8 @@
</listitem>
</itemizedlist>
- <para>Voordat verder gegaan wordt moet het volgende gedaan worden:</para>
+ <para>Voordat verder gegaan wordt moet het volgende gedaan
+ worden:</para>
<itemizedlist>
<listitem>
@@ -112,16 +113,16 @@
<warning>
<para>De beveiligings evenement auditing faciliteit is in staat om
erg gedetailleerde logs van systeem activiteiten op een druk
- systeem te genereren, trial bestand data kan erg groot worden
+ systeem te genereren, trail bestand data kan erg groot worden
wanneer er erg precieze details worden gevraagd, wat enkele
gigabytes per week kan overschrijden in sommige configuraties.
- Administrators moeten goed overwegen genoeg diskruimte te alloceren
- aan grote audit configuraties. Bijvoorbeeld het kan gewenst zijn
- om een volledig bestandsysteem aan <filename>/var/audit</filename>
- toe te wijzen zo dat andere bestandssystemen niet geraakt worden
- als het audit bestandssysteem vol raakt.</para>
+ Administrators moeten goed overwegen genoeg diskruimte te
+ alloceren aan grote audit configuraties. Bijvoorbeeld het kan
+ gewenst zijn om een volledig bestandsysteem aan
+ <filename>/var/audit</filename> toe te wijzen zo dat andere
+ bestandssystemen niet geraakt worden als het audit
+ bestandssysteem vol raakt.</para>
</warning>
-
</sect1>
<sect1 id="audit-inline-glossary">
@@ -133,57 +134,59 @@
<itemizedlist>
<listitem>
<para><emphasis>evenement</emphasis>: Een auditbaar evenement is
- elk evenement dat geloogged kan worden door het audit subsysteem.
- Voorbeelden van beveiligings gerelateerde evenementen zijn het
- creeëren van een bestand, het opzetten van een netwerk
- verbinding, of van een gebruiker die inlogged. Evenementen
- zijn ofwel <quote>attributable</quote> wat betekend dat ze
- getraceerd kunnen worden naar een geauthoriseerde gebruiker, of
- <quote>non-attributable</quote> als dat niet mogelijk is.
- Voorbeelden van non-attributable evenementen zijn elk evenement
- dat gebeurd voordat authorisatie plaatsvind in het login proces,
- zoals verkeerde paswoord pogingen.</para>
+ elk evenement dat geloogged kan worden door het audit
+ subsysteem. Voorbeelden van beveiligings gerelateerde
+ evenementen zijn het creeëren van een bestand, het
+ opzetten van een netwerk verbinding, of van een gebruiker die
+ aanlogt. Evenementen zijn ofwel <quote>attributable</quote>
+ wat betekend dat ze getraceerd kunnen worden naar een
+ geauthoriseerde gebruiker, of <quote>non-attributable</quote>
+ als dat niet mogelijk is. Voorbeelden van non-attributable
+ evenementen zijn elk evenement dat gebeurd voordat
+ authorisatie plaatsvind in het login proces, zoals foutieve
+ inlog pogingen.</para>
</listitem>
<listitem>
<para><emphasis>class</emphasis>: Evenement klassen zijn benoemde
sets van gerelateerde evenementen en worden gebruikt in
- selectie expressies. Veel gebruikte klassen van evenementen zijn
- <quote>bestands creatie</quote> (fc), <quote>exec</quote> (ex) en
- <quote>login_logout</quote> (lo).</para>
+ selectie expressies. Veel gebruikte klassen van evenementen
+ zijn <quote>bestands creatie</quote> (fc), <quote>exec</quote>
+ (ex) en <quote>login_logout</quote> (lo).</para>
</listitem>
<listitem>
<para><emphasis>record</emphasis>: Een record is een audit log
regel die het beveiligings evenement beschrijft. Records
- bevatten een record evenement type, informatie over het onderwerp
- (gebruiker) welke de actie uitvoerd, de datum en de tijd,
- informatie over elke objecten of argumenten, en een succes of
- faal conditie.</para>
+ bevatten een record evenement type, informatie over het
+ onderwerp (gebruiker) welke de actie uitvoerd, de datum en de
+ tijd, informatie over elke objecten of argumenten, en conditie
+ die aangeeft of de actie geslaagd of mislukt is.</para>
</listitem>
<listitem>
- <para><emphasis>trail</emphasis>: Een audit trial, of log
+ <para><emphasis>trail</emphasis>: Een audit trail, of log
bestand bestaat uit een serie van audit records welke
beveiligings evenementen beschrijven. Meestal lopen deze
- trials in chronologische orde, gebaseerd op de tijd dat
+ trails in chronologische orde, gebaseerd op de tijd dat
het evenement optrad. Alleen geauthoriseerde processen
- mogen records toevoegen aan de audit trial.</para>
+ mogen records toevoegen aan de audit trail.</para>
</listitem>
<listitem>
<para><emphasis>selection expression</emphasis>: Een selectie
expressie is een string welke een lijst bevat van prefixes
- en audit evenement klasse namen overeenkomen met evenementen.</para>
+ en audit evenement klasse namen overeenkomen met
+ evenementen.</para>
</listitem>
<listitem>
<para><emphasis>preselection</emphasis>: Het proces waarbij het
systeem bepaald welke evenementen interessant zijn voor de
- administrator, zodat wordt voorkomen dat er audit records worden
- gegenereerd voor evenementen die niet interessant zijn. De
- <quote>preselection</quote> configuratie gebruikt een serie van
- selectie expressies om te identificeren welke klassen van
+ administrator, zodat wordt voorkomen dat er audit records
+ worden gegenereerd voor evenementen die niet interessant zijn.
+ De <quote>preselection</quote> configuratie gebruikt een serie
+ van selectie expressies om te identificeren welke klassen van
evenementen van toepassing zijn op gebruikers en globale
instellingen voor zowel geauthoriseerde als ongeauthoriseerde
processen.</para>
@@ -191,14 +194,15 @@
<listitem>
<para><emphasis>reduction</emphasis>: Het proces waarbij records
- van bestaande audit trials worden geselecteerd voor bewaring,
+ van bestaande audit trails worden geselecteerd voor bewaring,
printen of analyse. Ook is dit het proces waarbij ongewenste
- audit records worden verwijderd uit het audit trail. Door gebruik
- te maken van reduction kunnen administrators policies implementeren
- die het bewaren van audit data verzorgen. Bijvoorbeeld gedetailleerde
- audit trails kunnen ëën maand bewaard worden maar erna
- worden trails gereduceerd zodat alleen login informatie bewaard
- worden voor archief redenen.</para>
+ audit records worden verwijderd uit het audit trail. Door
+ gebruik te maken van reduction kunnen administrators policies
+ implementeren die het bewaren van audit data verzorgen.
+ Bijvoorbeeld gedetailleerde audit trails kunnen ëën
+ maand bewaard worden maar erna worden trails gereduceerd zodat
+ alleen login informatie bewaard worden voor archief
+ redenen.</para>
</listitem>
</itemizedlist>
</sect1>
@@ -207,25 +211,28 @@
<title>Installeren van audit ondersteuning.</title>
<para>Gebruikers ruimte ondersteuning voor evenement auditing wordt
- geïnstalleerd als onderdeel van het basis &os; besturings systeem.
- In &os; 7.0 en later wordt kernel ondersteuning voor evenement
- auditing standaard meegenomen tijdens compliatie. In &os; 6.<replaceable>X</replaceable>,
- moet ondersteuning expliciet in de kernel gecompileerd worden door
- de volgende regels toe te voegen aan het kernel configuratie bestand:</para>
+ geïnstalleerd als onderdeel van het basis &os; besturings
+ systeem. In &os; 7.0 en later wordt kernel ondersteuning
+ voor evenement auditing standaard meegenomen tijdens compliatie.
+ In &os; 6.<replaceable>X</replaceable>, moet ondersteuning
+ expliciet in de kernel gecompileerd worden door de volgende regels
+ toe te voegen aan het kernel configuratie bestand:</para>
<programlisting>options AUDIT</programlisting>
<para>Bouw en herinstalleer de kernel volgens het normale
proces zoals beschreven in <xref linkend="kernelconfig">.</para>
- <para>Zodra een audit ondersteunende kernel is gebouwd en geïnstalleerd,
- en opgestart kan de audit daemon aangezet worden door de volgende regel
- an &man.rc.conf.5; toe te voegen:</para>
+ <para>Zodra een audit ondersteunende kernel is gebouwd en
+ geïnstalleerd, en opgestart kan de audit daemon aangezet
+ worden door de volgende regel an &man.rc.conf.5; toe te
+ voegen:</para>
<programlisting>auditd_enable="YES"</programlisting>
- <para>Audit ondersteuning moet daarna aangezet worden door een herstart
- of door het handmatig starten van de audit daemon:</para>
+ <para>Audit ondersteuning moet daarna aangezet worden door een
+ herstart of door het handmatig starten van de audit
+ daemon:</para>
<programlisting>/etc/rc.d/auditd start</programlisting>
</sect1>
@@ -236,7 +243,8 @@
<para>Alle configuratie bestanden voor beveiligings audit kunnen
worden gevonden in
<filename class="directory">/etc/security</filename>. De volgende
- bestanden moeten aanwezig zijn voor de audit daemon wordt gestart:</para>
+ bestanden moeten aanwezig zijn voor de audit daemon wordt
+ gestart:</para>
<itemizedlist>
<listitem>
@@ -265,10 +273,10 @@
<listitem>
<para><filename>audit_warn</filename> - Een bewerkbaar shell
- script gebruikt door de <application>auditd</application> welke
- waarschuwings berichten genereert in bijzondere situaties zoals
- wanneer de ruimte voor audit records weinig is of wanneer het
- audit trail bestand is geroteerd.</para>
+ script gebruikt door de <application>auditd</application>
+ welke waarschuwings berichten genereert in bijzondere situaties
+ zoals wanneer de ruimte voor audit records weinig is of
+ wanneer het audit trail bestand is geroteerd.</para>
</listitem>
</itemizedlist>
@@ -284,12 +292,13 @@
<para>Selectie expressies worden gebruikt op een aantal plaatsen
in de audit configuratie om te bepalen welke evenementen er
geaudit moeten worden. Expressies bevatten een lijst van
- evenement klassen welke gelijk zijn aan een prefix welke aangeeft
- of het gelijke records geaccepteerd moeten worden of genegeerd
- en optioneel om aan te geven of de regel is bedoeld om succesvolle
- of mislukte operaties te matchen. Selectie expressies worden
- gevalueerd van links naar rechts en twee expressies worden
- gecombineerd door de ëën aan de ander toe te voegen.</para>
+ evenement klassen welke gelijk zijn aan een prefix welke
+ aangeeft of het gelijke records geaccepteerd moeten worden of
+ genegeerd en optioneel om aan te geven of de regel is bedoeld
+ om succesvolle of mislukte operaties te matchen. Selectie
+ expressies worden gevalueerd van links naar rechts en twee
+ expressies worden gecombineerd door de ëën aan de
+ ander toe te voegen.</para>
<para>De volgende lijst bevat de standaard audit evenement klassen
welke aanwezig zijn in het <filename>audit_class</filename>
@@ -297,14 +306,14 @@
<itemizedlist>
<listitem>
- <para><literal>all</literal> - <emphasis>all</emphasis> - Matched alle
- evenement klasses.</para>
+ <para><literal>all</literal> - <emphasis>all</emphasis> -
+ Matched alle evenement klasses.</para>
</listitem>
<listitem>
- <para><literal>ad</literal> - <emphasis>administrative</emphasis>
- - Administratieve acties welke uitgevoerd worden op het gehele
- systeem.</para>
+ <para><literal>ad</literal> -
+ <emphasis>administrative</emphasis> - Administratieve acties
+ welke uitgevoerd worden op het gehele systeem.</para>
</listitem>
<listitem>
@@ -320,16 +329,17 @@
<listitem>
<para><literal>ex</literal> - <emphasis>exec</emphasis> - Audit
- programma uitvoer. Het auditen van command line argumenten en
- omgevings variabelen wordt gecontroleerd via
+ programma uitvoer. Het auditen van command line argumenten
+ en omgevings variabelen wordt gecontroleerd via
&man.audit.control.5; door gebruik te maken van de
<literal>argv</literal> en <literal>envv</literal> parameters
in de <literal>policy</literal> setting.</para>
</listitem>
<listitem>
- <para><literal>fa</literal> - <emphasis>file attribute access</emphasis>
- - Audit de toeging van object attributen zoals &man.stat.1;,
+ <para><literal>fa</literal> -
+ <emphasis>file attribute access</emphasis> - Audit de
+ toevoeging van object attributen zoals &man.stat.1;,
&man.pathconf.2; en gelijkwaardige evenementen.</para>
</listitem>
@@ -341,14 +351,16 @@
<listitem>
<para><literal>fd</literal> - <emphasis>file delete</emphasis>
- - Audit evenementen waarbij bestanden verwijderd worden.</para>
+ - Audit evenementen waarbij bestanden verwijderd
+ worden.</para>
</listitem>
<listitem>
- <para><literal>fm</literal> - <emphasis>file attribute modify</emphasis>
- - Audit evententen waarbij bestands attributen wijzigingen
- plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;, &man.flock.2;,
- etc.</para>
+ <para><literal>fm</literal> -
+ <emphasis>file attribute modify</emphasis> - Audit
+ evenementen waarbij bestands attributen wijzigingen
+ plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;,
+ &man.flock.2;, etc.</para>
</listitem>
<listitem>
@@ -358,14 +370,14 @@
</listitem>
<listitem>
- <para><literal>fw</literal> - <emphasis>file write</emphasis> -
- Audit evenementen waarbij data wordt geschreven, bestanden
+ <para><literal>fw</literal> - <emphasis>file write</emphasis>
+ - Audit evenementen waarbij data wordt geschreven, bestanden
worden geschreven of gewijzigd, etc.</para>
</listitem>
<listitem>
- <para><literal>io</literal> - <emphasis>ioctl</emphasis> - Audit
- het gebruik van de &man.ioctl.2; systeem aanroep.</para>
+ <para><literal>io</literal> - <emphasis>ioctl</emphasis> -
+ Audit het gebruik van de &man.ioctl.2; systeem aanroep.</para>
</listitem>
<listitem>
@@ -376,18 +388,20 @@
<listitem>
<para><literal>lo</literal> - <emphasis>login_logout</emphasis> -
- Audit &man.login.1; en &man.logout.1; evenementen die plaatsvinden
- op het systeem.</para>
+ Audit &man.login.1; en &man.logout.1; evenementen die
+ plaatsvinden op het systeem.</para>
</listitem>
<listitem>
- <para><literal>na</literal> - <emphasis>non attributable</emphasis> -
- Audit non-attributable evenementen.</para>
+ <para><literal>na</literal> -
+ <emphasis>non attributable</emphasis> - Audit
+ non-attributable evenementen.</para>
</listitem>
<listitem>
- <para><literal>no</literal> - <emphasis>invalid class</emphasis> -
- Matched geen audit evenement.</para>
+ <para><literal>no</literal> -
+ <emphasis>invalid class</emphasis> - Matched geen enkel
+ audit evenement.</para>
</listitem>
<listitem>
@@ -403,51 +417,56 @@
<listitem>
<para><literal>pc</literal> - <emphasis>process</emphasis> -
- Audit process operaties zoals &man.exec.3; en &man.exit.3;</para>
+ Audit process operaties zoals &man.exec.3; en
+ &man.exit.3;</para>
</listitem>
-
</itemizedlist>
- <para>Deze audit evenement klassen kunnen veranderd worden door het
- wijzigingen van de <filename>audit_class</filename> en
+ <para>Deze audit evenement klassen kunnen veranderd worden door
+ het wijzigingen van de <filename>audit_class</filename> en
<filename>audit_event</filename> configuratie bestanden.</para>
<para>Elke audit klasse in de lijst wordt gecombineerd met een
- voorzetsel welke aangeeft of er succesvolle of mislukte operaties
- hebben plaatsgevonden en of de regel wordt toegevoegd of verwijderd
- van het matchen van de klasse en het type.</para>
+ voorzetsel welke aangeeft of er succesvolle of mislukte
+ operaties hebben plaatsgevonden en of de regel wordt toegevoegd
+ of verwijderd van het matchen van de klasse en het type.</para>
<itemizedlist>
<listitem>
- <para>(none) Audit zowel succesvolle als mislukte infomratie van
- het evenement.</para>
+ <para>(none) Audit zowel succesvolle als mislukte informatie
+ van het evenement.</para>
</listitem>
<listitem>
- <para><literal>+</literal> Audit succesvolle evenementen in deze klasse.</para>
+ <para><literal>+</literal> Audit succesvolle evenementen in
+ deze klasse.</para>
</listitem>
<listitem>
- <para><literal>-</literal> Audit mislukte evenementen in deze klasse.</para>
+ <para><literal>-</literal> Audit mislukte evenementen in deze
+ klasse.</para>
</listitem>
<listitem>
- <para><literal>^</literal> Audit geen enkele succesvolle of mislukte evenementen
- in deze klasse.</para>
+ <para><literal>^</literal> Audit geen enkele succesvolle of
+ mislukte evenementen in deze klasse.</para>
</listitem>
<listitem>
- <para><literal>^+</literal> Audit geen succesvolle evenementen in deze klasse.</para>
+ <para><literal>^+</literal> Audit geen succesvolle evenementen
+ in deze klasse.</para>
</listitem>
<listitem>
- <para><literal>^-</literal> Audit geen mislukte evenementen in deze klasse.</para>
+ <para><literal>^-</literal> Audit geen mislukte evenementen
+ in deze klasse.</para>
</listitem>
</itemizedlist>
- <para> de volgende voorbeeld selectie strings selecteren zowel succesvolle als
- mislukte login/logout evenementen, maar alleen succesvolle uitvoer evenementen:</para>
+ <para>De volgende voorbeeld selectie strings selecteren zowel
+ succesvolle als mislukte login/logout evenementen, maar alleen
+ succesvolle uitvoer evenementen:</para>
<programlisting>lo,+ex</programlisting>
</sect2>
@@ -455,12 +474,12 @@
<sect2>
<title>Configuratie bestanden</title>
- <para>In de meeste gevallen moet een administrator twee bestanden wijzigingen
- wanneer het audit systeem wordt geconfigureerd:
- <filename>audit_control</filename> en <filename>audit_user</filename>.
- Het eerste controleert systeem brede audit eigenschappen en policies, het
- tweede kan gebruikt worden om diepgaande auditing per gebruiker uit te
- voeren.</para>
+ <para>In de meeste gevallen moet een administrator twee bestanden
+ wijzigingen wanneer het audit systeem wordt geconfigureerd:
+ <filename>audit_control</filename> en
+ <filename>audit_user</filename>. Het eerste controleert systeem
+ brede audit eigenschappen en policies, het tweede kan gebruikt
+ worden om diepgaande auditing per gebruiker uit te voeren.</para>
<sect3 id="audit-auditcontrol">
<title>Het <filename>audit_control</filename> bestand</title>
@@ -476,19 +495,20 @@
policy:cnt
filesz:0</programlisting>
- <para>De <option>dir</option> optie wordt gebruikt om ëën
- of meerdere directories te specificeren die gebruikt worden voor
- de opslag van audit logs. Als er meer dan ëën directory
- wordt gespecificeerd, worden ze op volgorde gebruikt naarmate ze
- gevuld worden. Het is standaard dat audit geconfigureerd wordt
- dat audit logs worden bewaard op een eigen bestandssysteem, om te
- voorkomen dat het audit subsysteem en andere subsystemen met elkaar
- botsen als het bestandssysteem volraakt.</para>
+ <para>De <option>dir</option> optie wordt gebruikt om
+ ëën of meerdere directories te specificeren die
+ gebruikt worden voor de opslag van audit logs. Als er meer
+ dan ëën directory wordt gespecificeerd, worden ze
+ op volgorde gebruikt naarmate ze gevuld worden. Het is
+ standaard dat audit geconfigureerd wordt dat audit logs
+ worden bewaard op een eigen bestandssysteem, om te
+ voorkomen dat het audit subsysteem en andere subsystemen met
+ elkaar botsen als het bestandssysteem volraakt.</para>
- <para>Het <option>flags</option> veld stelt de systeem brede standaard
- preselection maskers voor attributable evenementen in. In het
- voorbeeld boven worden succesvolle en mislukte login en logout
- evenementen geaudit voor alle gebruikers.</para>
+ <para>Het <option>flags</option> veld stelt de systeem brede
+ standaard preselection maskers voor attributable evenementen
+ in. In het voorbeeld boven worden succesvolle en mislukte
+ login en logout evenementen geaudit voor alle gebruikers.</para>
<para>De <option>minfree</option> optie definieerd het minimale
percentage aan vrije ruimte voor dit bestandssysteem waar de
@@ -498,17 +518,18 @@
op 20 procent.</para>
<para>De<option>naflags</option> optie specificeerd audit klasses
- welke geaudit moeten worden voor non-attributed evenementen zoals
- het login proces en voor systeem daemons.</para>
+ welke geaudit moeten worden voor non-attributed evenementen
+ zoals het login proces en voor systeem daemons.</para>
<para>De<option>policy</option> optie specificeert een komma
gescheiden lijst van policy vlaggen welke diverse aspecten
- van het audit proces beheren. De standaard <literal>cnt</literal>
- vlag geeft aan dat het systeem moet blijven draaien ook al treden
- er audit fouten op (Deze vlag wordt sterk aangeraden). Een andere veel
- gebruikte vlag is <literal>argv</literal>, wat het mogelijk maakt om
- command line argumenten aan de &man.execve.2; systeem aanroep te auditen
- als onderdeel van het uitvoeren van commando's.</para>
+ van het audit proces beheren. De standaard
+ <literal>cnt</literal> vlag geeft aan dat het systeem moet
+ blijven draaien ook al treden er audit fouten op (Deze vlag
+ wordt sterk aangeraden). Een andere veel gebruikte vlag is
+ <literal>argv</literal>, wat het mogelijk maakt om command
+ line argumenten aan de &man.execve.2; systeem aanroep te
+ auditen als onderdeel van het uitvoeren van commando's.</para>
<para>De <option>filesz</option> optie specificeert de maximale
grootte in bytes hoeveel een audit trail bestand mag groeien
@@ -527,20 +548,20 @@
specificeren voor gebruikers. Elke regel configureert
auditing voor een gebruiker via twee velden, het eerste is het
<literal>alwaysaudit</literal> veld, welke een set van
- evenementen specificeert welke altijd moet worden geaudit voor de
- gebruiker, en de tweede is het <literal>neveraudit</literal> veld,
- welke een set van evenementen specificeerd die nooit geaudit moeten
- worden voor de gebruiker.</para>
+ evenementen specificeert welke altijd moet worden geaudit voor
+ de gebruiker, en de tweede is het <literal>neveraudit</literal>
+ veld, welke een set van evenementen specificeerd die nooit
+ geaudit moeten worden voor de gebruiker.</para>
- <para>Het volgende voorbeeld <filename>audit_user</filename> bestand
- audit login/logout evenementen en succesvolle commando uitvoer voor
- de <username>root</username> gebruiker, en audit bestands creatie
- en succesvolle commando uitvoer voor de <username>www</username>
- gebruiker. Als dit gebruikt wordt met het voorbeeld
- <filename>audit_control</filename> bestand hierboven, is de
- <username>root</username> regel dubbelop en zullen login/logout
- evenementen ook worden geaudit voor de <username>www</username>
- gebruiker.</para>
+ <para>Het volgende voorbeeld <filename>audit_user</filename>
+ bestand audit login/logout evenementen en succesvolle commando
+ uitvoer voor de <username>root</username> gebruiker, en audit
+ bestands creatie en succesvolle commando uitvoer voor de
+ <username>www</username> gebruiker. Als dit gebruikt wordt
+ met het voorbeeld <filename>audit_control</filename> bestand
+ hierboven, is de <username>root</username> regel dubbelop en
+ zullen login/logout evenementen ook worden geaudit voor de
+ <username>www</username> gebruiker.</para>
<programlisting>root:lo,+ex:no
www:fc,+ex:no</programlisting>
@@ -555,33 +576,35 @@
<sect2>
<title>Audit trails inzien</title>
- <para>Audit trails worden opgeslagen in het BSM binaire formaat, dus
- ondersteuning programma's moeten worden gebruikt om de informatie
- te wijzigen of converteren naar tekst. Het &man.praudit.1; commando
- converteert trail bestanden naar een simpel tekst formaat; het
- &man.auditreduce.1; commando kan gebruikt worden om de audit trail
- te reduceren voor analyse, archivering of voor het printen.
- <command>auditreduce</command> ondersteund een variateit van
- selectie parameters, zoals evenement type, evenement klasse,
- gebruiker, datum of tijd van het evenement en het bestandspad
- of object dat gebruikt wordt.</para>
+ <para>Audit trails worden opgeslagen in het BSM binaire formaat,
+ dus ondersteuning programma's moeten worden gebruikt om de
+ informatie te wijzigen of converteren naar tekst. Het
+ &man.praudit.1; commando converteert trail bestanden naar een
+ simpel tekst formaat; het &man.auditreduce.1; commando kan
+ gebruikt worden om de audit trail te reduceren voor analyse,
+ archivering of voor het printen. <command>auditreduce</command>
+ ondersteund een variateit van selectie parameters, zoals
+ evenement type, evenement klasse, gebruiker, datum of tijd van
+ het evenement en het bestandspad of object dat gebruikt
+ wordt.</para>
- <para>Bijvoorbeeld, het <command>praudit</command> programma zal een
- dump maken van de volledige inhoud van een gespecificeerd audit
- log bestand in normale tekst:</para>
+ <para>Bijvoorbeeld, het <command>praudit</command> programma zal
+ een dump maken van de volledige inhoud van een gespecificeerd
+ audit log bestand in normale tekst:</para>
<screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen>
- <para>Waar <filename><replaceable>AUDITFILE</replaceable></filename> het audit bestand
- is dat gedumpt moet worden.</para>
+ <para>Waar
+ <filename><replaceable>AUDITFILE</replaceable></filename> het
+ audit bestand is dat gedumpt moet worden.</para>
- <para>Audit trails bestaan uit een serie van audit records die gevormd
- worden door tokens, welke <command>praudit</command> sequentieel print
- ëën per regel. Elke token is van een specifiek type, zoals
- een <literal>header</literal> welke de audit record header bevat, of
- <literal>path</literal> welke het bestandspad bevat van een lookup.
- Het volgende is een voorbeeld van een <literal>execve</literal>
- evenement:</para>
+ <para>Audit trails bestaan uit een serie van audit records die
+ gevormd worden door tokens, welke <command>praudit</command>
+ sequentieel print ëën per regel. Elke token is van
+ een specifiek type, zoals een <literal>header</literal> welke
+ de audit record header bevat, of <literal>path</literal> welke
+ het bestandspad bevat van een lookup. Het volgende is een
+ voorbeeld van een <literal>execve</literal> evenement:</para>
<programlisting>header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec
exec arg,finger,doug
@@ -593,27 +616,29 @@
<para>Deze audit representeert een succesvolle
<literal>execve</literal> aanroep, waarbij het commando
- <literal>finger doug</literal> is aangeroepen. Het argument token
- bevat beide behandelde command line gepresendeerd door de shell
- aan de kernel. Het <literal>path</literal> token bevat het
- pad naar het uitvoere bestand zoals opgezocht door de kernel.
- Het <literal>attribute</literal> token beschrijft de binary en om
- precies te zijn bevat het de bestands mode welke gebruikt kan worden
- om te zien of het bestand setuid was. Het <literal>subject</literal>
- token beschrijft het onderwerp proces en bevat sequentieel het
- audit gebruikers ID, effectieve gebruikers ID en groep ID, echte
- gebruikers ID, groep ID, proces ID, sessie ID, port ID en login
- adres. Let op dat het audit gebruikers ID en het echte gebruikers
- ID van elkaar verschillen omdat de gebruiker <username>robert</username>
- gewisseld is naar de <username>root</username> gebruiker voordat het
- commando werd uitgevoerd, maar dat het geaudit wordt als de originele
- geauthoriseerde gebruiker. Als laatste wordt de <literal>return</literal>
- token gebruikt om aan te geven dat er een succesvolle uitvoer is geweest
- en <literal>trailer</literal> geeft het einde aan van het record.</para>
+ <literal>finger doug</literal> is aangeroepen. Het argument
+ token bevat beide behandelde command line gepresendeerd door
+ de shell aan de kernel. Het <literal>path</literal> token
+ bevat het pad naar het uitvoerbare bestand zoals opgezocht door
+ de kernel. Het <literal>attribute</literal> token beschrijft
+ de binary en om precies te zijn bevat het de bestands mode
+ welke gebruikt kan worden om te zien of het bestand setuid was.
+ Het <literal>subject</literal> token beschrijft het onderwerp
+ proces en bevat sequentieel het audit gebruikers ID, effectieve
+ gebruikers ID en groep ID, echte gebruikers ID, groep ID,
+ proces ID, sessie ID, port ID en login adres. Let op dat het
+ audit gebruikers ID en het echte gebruikers ID van elkaar
+ verschillen omdat de gebruiker <username>robert</username>
+ gewisseld is naar de <username>root</username> gebruiker voordat
+ het commando werd uitgevoerd, maar dat het geaudit wordt als de
+ originele geauthoriseerde gebruiker. Als laatste wordt de
+ <literal>return</literal> token gebruikt om aan te geven dat er
+ een succesvolle uitvoer is geweest en <literal>trailer</literal>
+ geeft het einde aan van het record.</para>
- <para>In &os; 6.3 en later ondersteund <command>praudit</command> ook
- een XML output formaat, welke geselecteerd kan worden door gebruik te
- maken van het <option>x</option> argument.</para>
+ <para>In &os; 6.3 en later ondersteund <command>praudit</command>
+ ook een XML output formaat, welke geselecteerd kan worden door
+ gebruik te maken van het <option>x</option> argument.</para>
</sect2>
<sect2>
@@ -641,74 +666,78 @@
kan alleen de <username>root</username> gebruiker deze
audit trails lezen. Gebrukers kunnen toegevoegd worden aan de
<groupname>audit</groupname> groep zodat onderzoek rechten kunnen
- worden gedelegeerd aan de geruiker. Omdat de mogelijkheid van het
- inzien van audit log inhoud significante inzicht kan geven in het
- gedrag van gebruikers en processen, wordt het aangeraden dat de
- delagatie van onderzoek rechten wordt uitgevoerd met zorg.</para>
+ worden gedelegeerd aan de geruiker. Omdat de mogelijkheid van
+ het inzien van audit log inhoud significante inzicht kan geven
+ in het gedrag van gebruikers en processen, wordt het aangeraden
+ dat de delagatie van onderzoek rechten wordt uitgevoerd met
+ zorg.</para>
</sect2>
<sect2>
<title>Live monitoren door gebruik van audit pipes</title>
<para>Audit pipes zijn gecloonde pseudo-devices in het device
- bestands systeem, welke applicaties toestaat om een tap te plaatsen
- in de live audit record stream. Dit is primair interessant voor
- schrijvers van intrusion detection en systeem monitoring applicaties.
- Echter, voor een administrator is het audit pipe device een makkelijke
- manier om live monitoring toe te staan zonder dat er problemen kunnen
- ontstaan met het eigenaarschap van het audit trail bestand, of dat
- een log rotatie de evenementen stroom in de weg zit. Om de live
- audit evenementen stroom te kunnen inzien is het volgende commando
+ bestands systeem, welke applicaties toestaat om een tap te
+ plaatsen in de live audit record stream. Dit is primair
+ interessant voor schrijvers van intrusion detection en systeem
+ monitoring applicaties. Echter, voor een administrator is het
+ audit pipe device een makkelijke manier om live monitoring toe
+ te staan zonder dat er problemen kunnen ontstaan met het
+ eigenaarschap van het audit trail bestand, of dat een log
+ rotatie de evenementen stroom in de weg zit. Om de live audit
+ evenementen stroom te kunnen inzien is het volgende commando
benodigd:</para>
<screen>&prompt.root; <userinput>praudit /dev/auditpipe</userinput></screen>
- <para>Standaard zijn de audit pipe device nodes alleen toegankelijk voor
- de <username>root</username> gebruiker. Om deze toegankelijk te maken
- voor leden van de <groupname>audit</groupname> groep, moet een
+ <para>Standaard zijn de audit pipe device nodes alleen toegankelijk
+ voor de <username>root</username> gebruiker. Om deze
+ toegankelijk te maken voor leden van de
+ <groupname>audit</groupname> groep, moet een
<literal>devfs</literal> regel toegevoegd worden aan het
<filename>devfs.rules</filename> bestand:</para>
<programlisting>add path 'auditpipe*' mode 0440 group audit</programlisting>
- <para>Zie &man.devfs.rules.5; voor meer informatie over het configureren
- van het devfs bestands systeem.</para>
+ <para>Zie &man.devfs.rules.5; voor meer informatie over het
+ configureren van het devfs bestands systeem.</para>
<warning>
- <para>Het is makkelijk om audit evenement terugkoppeling cyclussen
- te creeëren, waarbij het tonen van elk audit evenement
- resulteert in het genereren van nog meer audit evenementen.
- Bijvoorbeeld, als alle netwerk I/O wordt geaudit en
- &man.praudit.1; wordt gestart vanuit een SSH sessie, wordt er
- een grote continue stroom aan audit evenementen gegenereert doordat
- elk getoond evenement een nieuw evenement genereert. Het is
- verstandig om <command>praudit</command> te draaien op een
- audit pipe device voor sessies zonder diepgaande I/O auditing
- om te voorkomen dat dit gebeurd.</para>
+ <para>Het is makkelijk om audit evenement terugkoppeling
+ cyclussen te creeëren, waarbij het tonen van elk audit
+ evenement resulteert in het genereren van nog meer audit
+ evenementen. Bijvoorbeeld, als alle netwerk I/O wordt geaudit
+ en &man.praudit.1; wordt gestart vanuit een SSH sessie, wordt
+ er een grote continue stroom aan audit evenementen gegenereert
+ doordat elk getoond evenement een nieuw evenement genereert.
+ Het is verstandig om <command>praudit</command> te draaien op
+ een audit pipe device voor sessies zonder diepgaande I/O
+ auditing om te voorkomen dat dit gebeurd.</para>
</warning>
</sect2>
<sect2>
<title>Het roteren van audit trail bestanden</title>
- <para>Audit trails worden alleen beschreven door de kernel en alleen
- gemanaged door de audit daemon, <application>auditd</application>.
- Administrators moeten &man.newsyslog.conf.5; of andere programma's
- niet gebruiken om direct audit logs te roteren. In plaats daarvan
- kan het <command>audit</command> management programma gebruikt worden
+ <para>Audit trails worden alleen beschreven door de kernel en
+ alleen beheerd worden door de audit daemon,
+ <application>auditd</application>. Administrators mogen geen
+ gebruik maken van &man.newsyslog.conf.5; of soortgelijke
+ programma's om de audit files te roteren. In plaats daarvan kan
+ het <command>audit</command> management programma gebruikt worden
om auditing te stoppen, het audit systeem te herconfigureren en
- log rotatie uit te voeren. Het volgende commando zorgt ervoor dat de
- audit daemon een nieuwe audit log maakt, en de kernel een signaal
- stuurt om het nieuwe logbestand te gebruiken. Het oude logbestand
- wordt getermineerd en hernoemd, en vanaf dan kan het gemanipuleerd
- worden door de administrator.</para>
+ log rotatie uit te voeren. Het volgende commando zorgt ervoor
+ dat de audit daemon een nieuwe audit log maakt, en de kernel
+ een signaal stuurt om het nieuwe logbestand te gebruiken. Het
+ oude logbestand wordt getermineerd en hernoemd, en vanaf dan kan
+ het gemanipuleerd worden door de administrator.</para>
<screen>&prompt.root; <userinput>audit -n</userinput></screen>
<warning>
- <para>Als de <application>auditd</application> daemon op dit moment
- niet draait op dit moment, zal het commando falen en zal er een
- error bericht worden geproduceerd.</para>
+ <para>Als de <application>auditd</application> daemon op dit
+ moment niet draait op dit moment, zal het commando falen en
+ zal er een error bericht worden geproduceerd.</para>
</warning>
<para>Als de volgende regel wordt toegevoegd aan het
@@ -731,14 +760,15 @@
<sect2>
<title>Audit trails comprimeren</title>
- <para>Omdat audit trail bestanden erg groot kunnen worden, is het meestal
- gewenst om de trails te comprimeren of op een andere manier te archiveren
- zodra ze afgesloten zijn door de audit daemon. Het
- <filename>audit_warn</filename> script kan gebruikt worden om bewerkte
- operaties te doen voor een variateit aan audit gerelateerde evenementen
- inclusief een schone terminatie van audit trails wanneer deze
- geroteerd worden. Bijvoorbeeld het volgende kan worden toegevoegd
- aan het <filename>audit_warn</filename> script, dat de audit trails
+ <para>Omdat audit trail bestanden erg groot kunnen worden, is het
+ meestal gewenst om de trails te comprimeren of op een andere
+ manier te archiveren zodra ze afgesloten zijn door de audit
+ daemon. Het <filename>audit_warn</filename> script kan gebruikt
+ worden om bewerkte operaties te doen voor een variateit aan
+ audit gerelateerde evenementen inclusief een schone terminatie
+ van audit trails wanneer deze geroteerd worden. Bijvoorbeeld
+ het volgende kan worden toegevoegd aan het
+ <filename>audit_warn</filename> script, dat de audit trails
comprimeert zodra ze afgesloten worden:</para>
<programlisting>#
@@ -752,9 +782,9 @@
trail bestanden naar een gecentraliseerde server, het verwijderen
van oude trail bestanden of het reduceren van de audit trail om
onnodige records te verwijderen. Het script zal alleen draaien
- als audit trail bestanden netjes worden afgesloten, dus het zal niet
- gedraaid worden op trails die niet netjes afgesloten zijn waardoor
- een foutieve afsluiting plaatsvind.</para>
+ als audit trail bestanden netjes worden afgesloten, dus het zal
+ niet gedraaid worden op trails die niet netjes afgesloten zijn
+ waardoor een foutieve afsluiting plaatsvind.</para>
</sect2>
</sect1>
</chapter>
More information about the p4-projects
mailing list