Управление журналом событий#
Перечень журналируемых событий#
Для просмотра журнала событий безопасности используется утилита journalctl.
Тип события | Расшифровка события |
---|---|
AUDIT_VIRT_CONTROL: pause | Постановка ВМ на паузу |
AUDIT_VIRT_CONTROL: unpause | Снятие ВМ с паузы |
AUDIT_VIRT_CONTROL: start | Запуск ВМ |
AUDIT_VIRT_CONTROL: hard_shutdown | Принудительное выключение ВМ |
AUDIT_VIRT_CONTROL: hard_reboot | Принудительная перезагрузка ВМ |
AUDIT_VIRT_CONTROL: clean_reboot | Перезагрузка ВМ |
AUDIT_VIRT_CONTROL: clean_shutdown | Выключение ВМ |
AUDIT_VIRT_CONTROL: suspend | Приостановка ВМ |
AUDIT_VIRT_CONTROL: resume | Возобновление работы ВМ после приостановки |
AUDIT_VIRT_INTEGRITY_CHECK | Проверка целостности |
AUDIT_VIRT_CREATE | Создание ВМ |
AUDIT_VIRT_DESTROY | Уничтожение ВМ |
AUDIT_VIRT_MIGRATE_IN | Миграция ВМ в хост |
AUDIT_VIRT_MIGRATE_OUT | Миграция ВМ из хоста |
SERVICE_START | Запуск сервисов |
SERVICE_STOP | Остановка сервисов |
USER_ROLE_CHANGE | Смена роли пользователя |
USER_START | Аутентификация пользователя |
USER_LOGIN | Идентификация пользователя |
Просмотр событий безопасности#
Просмотр журнала событий производится с помощью утилиты journalctl. Для просмотра определенных событий безопасности используются специальные параметры и ключи.
Ключ | Описание |
---|---|
-b <номер журнала> |
Вывод журнала из определенной сессии |
-f |
Просмотр событий в режиме реального времени |
--since |
Просмотр событий с определенной даты/времени. Допустимые форматы: yyyy-mm-dd hh:mm:ss , yyyy-mm-dd , hh:mm , yesterday , today |
--until |
Просмотр событий до определенной даты/времени. Допустимые форматы: yyyy-mm-dd hh:mm:ss , yyyy-mm-dd , hh:mm , yesterday , today , <N> hour ago и т.д. |
-p <уровень критичности> |
Просмотр событий с определенным уровнем критичности, где <уровень критичности> принимает значения от 0 до 7 |
-n <количество> |
Вывод последних событий, где <количество> - количество выводимых событий |
Уровни критичности:
- 0: emergency (неработоспособность системы)
- 1: alerts (предупреждения, требующие немедленного вмешательства)
- 2: critical (критическое состояние)
- 3: errors (ошибки)
- 4: warning (предупреждения)
- 5: notice (уведомления)
- 6: info (информационные сообщения)
- 7: debug (отладочные сообщения)
Просмотр всех событий из определенной сессии:
где <номер журнала>
определяется при выполнении команды journalctl --list-boots
.
- Просмотр списка журналов сессий:
где первый номер показывает номер журнала, а второй номер - boot ID - уникальный идентификатор журнала, который также можно использовать для вывода журнала.
Фильтрация событий безопасности#
Для фильтрации событий безопасности используется параметр grep:
Запуск сервиса:
Остановка сервиса:
Запуск ВМ:
Неуспешный запуск:
Запуск определенной ВМ:
где <vm-uuid>
– это uuid ВМ, который можно узнать с помощью команды xe vm-list
Завершение работы ВМ:
Успешные попытки:
Определенная ВМ:
где <vm-uuid>
– это uuid ВМ, который можно узнать с помощью команды xe vm-list
"Чистое" завершение работы:
Принудительное завершение работы:
Поставнока ВМ на паузу:
Снятие ВМ с паузы:
Приостановка ВМ:
Возобновление работы ВМ после приостановки:
Перезагрузка ВМ:
Принудительная перезагрузка:
Импорт ВМ фиксируется как событие создания ВМ
Экспорт ВМ:
Клонирование ВМ:
Создание субъекта доступа:
Удаление субъекта доступа:
Доступ субъектов доступа к УВМ:
Успешный доступ:
Неуспешный доступ:
Доступ определенного субъекта доступа к УВМ:
Доступ по ssh:
Неуспешная попытка доступа по ssh (неправильный логин):
Создание ВМ:
Удаление ВМ:
Копирование ВМ:
Управление ролями пользователей (присвоение/удаление/изменение):
Контроль целостности объектов контроля (VDI ВМ):
Успешный контроль целостности:
Неуспешный контроль целостности:
Обновление КС VDI ВМ:
Создание снапшота:
Миграция ВМ на другой сервер:
Миграция ВМ с другого сервера:
Создание хранилища:
Удаление журнала событий#
Удалить журналы, оставив только последние 100 Мб:
Удалить журналы, оставив журналы только за последние 7 дней:
Экспорт журнала событий#
Для экспорта журнала аудита необходимо:
- Выполнить команду по выгрузке журнала в файл. Пример выгрузки:
- Подключить и смонтировать USB-Flash-накопитель к устройству, на которое установлен Numa vServer
- Скопировать полученный файл на USB-Flash-накопитель
Контроль целостности журнала событий#
Для обеспечения проверки целостности журнала аудита необходимо выполнить следующие действия:
-
Сгенерировать пару ключей для подписи журнала аудита
Команда выведет значение секретного ключа -
Проверить целостность журнала