home *** CD-ROM | disk | FTP | other *** search
/ IRIX Base Documentation 2002 November / SGI IRIX Base Documentation 2002 November.iso / usr / share / catman / a_man / cat1 / audit.z / audit
Encoding:
Text File  |  2002-10-03  |  6.4 KB  |  133 lines
  1.  
  2.  
  3.  
  4. aaaauuuuddddiiiitttt((((1111MMMM))))                                                            aaaauuuuddddiiiitttt((((1111MMMM))))
  5.  
  6.  
  7.  
  8. NNNNAAAAMMMMEEEE
  9.      audit - system audit trail startup and shutdown script
  10.  
  11. SSSSYYYYNNNNOOOOPPPPSSSSIIIISSSS
  12.      ////eeeettttcccc////iiiinnnniiiitttt....dddd////aaaauuuuddddiiiitttt [ ssssttttaaaarrrrtttt | ssssttttoooopppp ]
  13.  
  14. DDDDEEEESSSSCCCCRRRRIIIIPPPPTTTTIIIIOOOONNNN
  15.      The _a_u_d_i_t shell script is called during system startup from /_e_t_c/_r_c_2 to
  16.      start the system audit trail daemon, _s_a_t_d(1M), and enable auditing of
  17.      predefined audit events (using _s_a_t__s_e_l_e_c_t(1M)).  The script is called
  18.      during system shutdown from /_e_t_c/_r_c_0 to kill the daemon gracefully and
  19.      disable auditing.
  20.  
  21.      Note that, as installed, auditing is off by default and must be enabled
  22.      as described in configuration flags, below.  In addition, once auditing
  23.      has been enabled via _c_h_k_c_o_n_f_i_g(1M), the system should be rebooted to
  24.      enable auditing from system startup.  At a minimum, ////eeeettttcccc////iiiinnnniiiitttt....dddd////aaaauuuuddddiiiitttt
  25.      ssssttttaaaarrrrtttt must be executed by root before any auditing actually takes place.
  26.  
  27.      When called with the ssssttttaaaarrrrtttt argument, the _a_u_d_i_t script does the following
  28.      (provided that auditing has been enabled):
  29.  
  30.      +o Looks for any "emergency files" (see _s_a_t_d(1M)) and issues a warning if
  31.        it finds any.
  32.      +o Ensures that _s_a_t_d and _s_a_t__s_e_l_e_c_t are executable.
  33.      +o Starts the audit daemon, _s_a_t_d.
  34.      +o Enables auditing of predefined audit events.
  35.  
  36.      When called with the ssssttttoooopppp argument, the _a_u_d_i_t script gracefully
  37.      terminates the _s_a_t daemon and disables auditing of all events.
  38.  
  39. CCCCOOOONNNNFFFFIIIIGGGGUUUURRRRAAAATTTTIIIIOOOONNNN FFFFLLLLAAAAGGGGSSSS
  40.      The audit subsystem is enabled if its configuration flag in the
  41.      /_e_t_c/_c_o_n_f_i_g directory is in the oooonnnn state.  The configuration flag file
  42.      for auditing is /_e_t_c/_c_o_n_f_i_g/_a_u_d_i_t.  If a flag file is missing, the flag
  43.      is considered off.  Use the _c_h_k_c_o_n_f_i_g(1M) command to turn a flag oooonnnn or
  44.      ooooffffffff.  For example,
  45.  
  46.           _cccc_hhhh_kkkk_cccc_oooo_nnnn_ffff_iiii_gggg _aaaa_uuuu_dddd_iiii_tttt _oooo_nnnn
  47.  
  48.      enables auditing.  When invoked without arguments, _c_h_k_c_o_n_f_i_g prints the
  49.      state of all known flags.
  50.  
  51.      There is a special flag, vvvveeeerrrrbbbboooosssseeee.  The vvvveeeerrrrbbbboooosssseeee flag controls the printing
  52.      of the names of daemons as they are started.
  53.  
  54. OOOOPPPPTTTTIIIIOOOONNNNSSSS FFFFIIIILLLLEEEESSSS
  55.      Site-dependent options for _s_a_t_d and _s_a_t__s_e_l_e_c_t belong in options files in
  56.      /_e_t_c/_c_o_n_f_i_g.  The option file for _s_a_t_d is _s_a_t_d._o_p_t_i_o_n_s. The options file
  57.      for _s_a_t__s_e_l_e_c_t events is _s_a_t__s_e_l_e_c_t._o_p_t_i_o_n_s.  The options files for
  58.      selecting subject user, group or label events are
  59.      _s_a_t__s_e_l_e_c_t._s_u_b_j_e_c_t._u_s_e_r, _s_a_t__s_e_l_e_c_t._s_u_b_j_e_c_t._g_r_o_u_p and
  60.  
  61.  
  62.  
  63.                                                                         PPPPaaaaggggeeee 1111
  64.  
  65.  
  66.  
  67.  
  68.  
  69.  
  70. aaaauuuuddddiiiitttt((((1111MMMM))))                                                            aaaauuuuddddiiiitttt((((1111MMMM))))
  71.  
  72.  
  73.  
  74.      _s_a_t__s_e_l_e_c_t._s_u_b_j_e_c_t._m_a_c. The options files for selecting object user,
  75.      group or label events are _s_a_t__s_e_l_e_c_t._o_b_j_e_c_t._u_s_e_r,
  76.       _s_a_t__s_e_l_e_c_t._o_b_j_e_c_t._g_r_o_u_p and _s_a_t__s_e_l_e_c_t._o_b_j_e_c_t._m_a_c.  These files contain
  77.      options that their respective commands will be run with to override the
  78.      defaults.
  79.  
  80.      To add filters to the _s_a_t_d command line invoked by the _a_u_d_i_t shell
  81.      script, place the filter command lines into /_e_t_c/_c_o_n_f_i_g in files with
  82.      names that begin with ssssaaaattttdddd....ffffiiiilllltttteeeerrrr.  If any of these files are found, the
  83.      output of _s_a_t_d is piped to them in the order that they are found using
  84.      _l_s.  For more information, see _a_u_d_i_t__f_i_l_e_s(5).  See the document _I_R_I_X
  85.      _A_d_m_i_n: _B_a_c_k_u_p, _S_e_c_u_r_i_t_y, _a_n_d _A_c_c_o_u_n_t_i_n_g and _s_a_t_d(1M) for details on valid
  86.      options.
  87.  
  88.      Note that if audit filters are used, it may be necessary for the _a_u_d_i_t
  89.      script to pause for several seconds to allow _s_a_t_d to completely
  90.      initialize the audit system before any events can be enabled.  The
  91.      default delay in this case is 2 seconds.  To override this delay, for
  92.      example in the case where a particular audit filter takes some additional
  93.      time to start up, place the delay time (in seconds) in the file
  94.      /_e_t_c/_c_o_n_f_i_g/_s_a_t_d._d_e_l_a_y.
  95.  
  96. FFFFIIIILLLLEEEESSSS
  97.      /etc/init.d/audit
  98.      /etc/rc0.d/K40audit   linked to /_e_t_c/_i_n_i_t._d/_a_u_d_i_t
  99.      /etc/rc2.d/S30audit   linked to /_e_t_c/_i_n_i_t._d/_a_u_d_i_t
  100.      /etc/config           configuration flags and options files
  101.  
  102. SSSSEEEEEEEE AAAALLLLSSSSOOOO
  103.      rc0(1M), rc2(1M), sat_echo(1M), sat_interpret(1M), sat_reduce(1M),
  104.      sat_select(1M), sat_summarize(1M), satconfig(1M), satd(1M),
  105.      audit_files(5).
  106.  
  107.      _I_R_I_X _A_d_m_i_n: _B_a_c_k_u_p, _S_e_c_u_r_i_t_y, _a_n_d _A_c_c_o_u_n_t_i_n_g.
  108.  
  109.  
  110.  
  111.  
  112.  
  113.  
  114.  
  115.  
  116.  
  117.  
  118.  
  119.  
  120.  
  121.  
  122.  
  123.  
  124.  
  125.  
  126.  
  127.  
  128.  
  129.                                                                         PPPPaaaaggggeeee 2222
  130.  
  131.  
  132.  
  133.