====== Система FreeBSD Audit ======
Сценарий: отслеживаем неудачные попытки открыть файл на чтения для процессов пользователя user1
* [[http://www.freebsd.org/doc/ru/books/handbook/audit.html|Аудит событий безопасности]]
===== Запуск системы аудита =====
По умолчанию настроена на протоколирование подключений под учетной записью root
# cat /etc/rc.conf
...
auditd_enable="YES"
# /etc/rc.d/auditd start
===== Настройка правил аудита событий =====
# cat /etc/security/audit_control
...
naflags:lo,aa,-fr
...
# cat /etc/security/audit_user
...
user1:-fr:no
# /etc/rc.d/auditd restart
===== Генерация событий =====
[[Сервис INETD]]
# fetch -qo - http://server.corpX.un/../../etc/passwd
# fetch -qo - http://server.corpX.un/../../etc/master.passwd
===== Поиск событий =====
# ls -l /var/audit/
# praudit /var/audit/current
# praudit /var/audit/current | grep -B 2 -A 2 user1 | less