Управление журналом событий#
Перечень журналируемых событий#
Для просмотра журнала событий безопасности используется утилита journalctl.
| Тип события | Расшифровка события |
|---|---|
| AUDIT_VIRT_CONTROL: pause | Постановка ВМ на паузу |
| AUDIT_VIRT_CONTROL: unpause | Снятие ВМ с паузы |
| AUDIT_VIRT_CONTROL: start | Запуск ВМ |
| AUDIT_VIRT_CONTROL: hard_shutdown | Принудительное выключение ВМ |
| AUDIT_VIRT_CONTROL: hard_reboot | Принудительная перезагрузка ВМ |
| AUDIT_VIRT_CONTROL: clean_reboot | Перезагрузка ВМ |
| AUDIT_VIRT_CONTROL: clean_shutdown | Выключение ВМ |
| AUDIT_VIRT_CONTROL: suspend | Приостановка ВМ |
| AUDIT_VIRT_CONTROL: resume | Возобновление работы ВМ после приостановки |
| AUDIT_VIRT_INTEGRITY_CHECK | Проверка целостности |
| AUDIT_VIRT_CREATE | Создание ВМ |
| AUDIT_VIRT_DESTROY | Уничтожение ВМ |
| AUDIT_VIRT_MIGRATE_IN | Миграция ВМ в хост |
| AUDIT_VIRT_MIGRATE_OUT | Миграция ВМ из хоста |
| SERVICE_START | Запуск сервисов |
| SERVICE_STOP | Остановка сервисов |
| USER_ROLE_CHANGE | Смена роли пользователя |
| USER_START | Аутентификация пользователя |
| USER_LOGIN | Идентификация пользователя |
Просмотр событий безопасности#
Просмотр журнала событий производится с помощью утилиты journalctl. Для просмотра определенных событий безопасности используются специальные параметры и ключи.
| Ключ | Описание |
|---|---|
-b <номер журнала> |
Вывод журнала из определенной сессии |
-f |
Просмотр событий в режиме реального времени |
--since |
Просмотр событий с определенной даты/времени. Допустимые форматы: yyyy-mm-dd hh:mm:ss, yyyy-mm-dd, hh:mm, yesterday, today |
--until |
Просмотр событий до определенной даты/времени. Допустимые форматы: yyyy-mm-dd hh:mm:ss, yyyy-mm-dd, hh:mm, yesterday, today, <N> hour ago и т.д. |
-p <уровень критичности> |
Просмотр событий с определенным уровнем критичности, где <уровень критичности> принимает значения от 0 до 7 |
-n <количество> |
Вывод последних событий, где <количество> - количество выводимых событий |
Уровни критичности:
- 0: emergency (неработоспособность системы)
- 1: alerts (предупреждения, требующие немедленного вмешательства)
- 2: critical (критическое состояние)
- 3: errors (ошибки)
- 4: warning (предупреждения)
- 5: notice (уведомления)
- 6: info (информационные сообщения)
- 7: debug (отладочные сообщения)
Просмотр всех событий из определенной сессии
где <номер журнала> определяется при выполнении команды journalctl --list-boots.
Просмотр списка журналов сессий
где первый номер показывает номер журнала, а второй номер - boot ID - уникальный идентификатор журнала, который также можно использовать для вывода журнала.
Фильтрация событий безопасности#
Для фильтрации событий безопасности используется параметр grep:
Запуск сервиса
Остановка сервиса
Запуск ВМ
Неуспешный запуск
Запуск определенной ВМ
где <vm-uuid> – это uuid ВМ, который можно узнать командой xe vm-list
Завершение работы ВМ
Успешные попытки:
Определенная ВМ:
где <vm-uuid> – это uuid ВМ, который можно узнать командой xe vm-list
“Чистое” завершение работы
Принудительное завершение работы
Поставнока ВМ на паузу
Снятие ВМ с паузы
Приостановка ВМ
Возобновление работы ВМ после приостановки
Перезагрузка ВМ
Принудительная перезагрузка
Импорт ВМ
Импорт ВМ фиксируется как событие создания ВМ.
Экспорт ВМ
Клонирование ВМ
Создание субъекта доступа
Удаление субъекта доступа
Доступ субъектов доступа к УВМ
Успешный доступ
Неуспешный доступ
Доступ определенного субъекта доступа к УВМ
Доступ по ssh
Неуспешная попытка доступа по ssh (неправильный логин)
Создание ВМ
Удаление ВМ
Копирование ВМ
Управление ролями пользователей (присвоение/удаление/изменение)
Контроль целостности объектов контроля (VDI ВМ)
Успешный контроль целостности
Неуспешный контроль целостности
Обновление КС VDI ВМ
Создание снапшота
Миграция ВМ на другой сервер
Миграция ВМ с другого сервера
Создание хранилища
Удаление журнала событий#
Удалить журналы, оставив только последние 100 Мб:
Удалить журналы, оставив журналы только за последние 7 дней:
Экспорт журнала событий#
- Выполните команду по выгрузке журнала в файл. Пример выгрузки:
- Подключите и смонтируйте USB-Flash-накопитель к устройству, на которое установлен Numa vServer.
- Скопируйте полученный файл на USB-Flash-накопитель.
Контроль целостности журнала событий#
Для обеспечения проверки целостности журнала аудита:
-
Сгенерируйте пару ключей для подписи журнала аудита.
Команда выведет значение секретного ключа. -
Проверьте целостность журнала.
Для автоматизации контроля целостности журнала аудита рекомендуем использовать связку systemd-сервиса и таймера, для этого:
-
Создайте файл сервиса:
где <значение секретного ключа> – значение, выводимое при выполнении команды
journalctl --setup-key -
Создайте таймер:
3. Перечитайте конфигурацию systemd и включите в автозагрузку таймер: 4. Результат проверки доступен с помощью команды:Пример вывода: