Описание типов событий безопасности, связанных с функциями ALD Pro

При работе ALD Pro осуществляется журналирование следующих видов событий безопасности, происходящих на контроллере домена и подсистемах:

  • события, связанные с идентификацией и аутентификацией пользователей ALD Pro;

  • события, связанные с управлением учетными записями пользователей ALD Pro;

  • события, связанные с управлением атрибутами доступа;

  • события, связанные с доступом к информации ALD Pro;

  • события, связанные с изменением параметров настроек ALD Pro;

  • события, связанные с выполнением процедуры установки/удаления компонентов программного обеспечения;

  • события, связанные с выводом информации на печать;

  • иные события.

Информация о событиях регистрируется в журналах:

  1. в общих для всех подсистем ALD Pro журналах событий:

  • /var/log/syslog — глобальный системный журнал событий. Записываются события, произошедшие с момента запуска ОС от различных компонентов (ядра, служб и других компонентов);

  • /var/log/auth.log — журнал событий, содержащий информацию об авторизации пользователей в ОС (удачные и неудачные попытки входа в систему, задействованные механизмы аутентификации и другие события);

  • /var/log/apt/term.log — журнал событий пакетного менеджера apt. В журнал записывается информация при возникновении ошибок при установке пакетов.

  • /var/log/dpkg.log — журнал событий пакетного менеджера dpkg. Содержит информацию обо всех этапах обработки пакетов dpkg (установка, обновление, удаление и другие действия);

  • /var/log/ipaclient-install.log — журнал событий установки клиента FreeIPA. Содержит отладочную информацию для диагностирования возможных ошибок, возникших при установке клиентской части ALD Pro;

  • /var/log/aldpro-salt/minion — журнал событий salt-minion. Содержит информационные, предупреждающие события и сообщения об ошибках, возникающие при работе Salt Stack;

  • /var/log/zabbix-agent/zabbix_agentd.log — журнал событий агента Zabbix;

  • /var/log/sssd/ — каталог содержит журналы событий службы SSSD;

  1. на контроллере домена и его репликациях, события дополнительно регистрируются в следующих каталогах и журналах:

  • /var/log/apache2/access.log — журнал доступа веб-сервера Apache. В журнале доступа к серверу записываются все запросы, обработанные сервером;

  • /var/log/apache2/error.log — журнал ошибок веб-сервера Apache. Записывается подробная диагностическая информация и ошибки, возникающие при обработке запросов;

  • /var/log/ipaserver-install.log — журнал событий установки сервера FreeIPA. Содержит отладочную информацию для диагностирования возможных ошибок, возникших при установке контроллера домена ALD Pro;

  • /var/log/dirsrv/ — каталог содержит журналы событий экземпляра службы каталогов dirsrv (например, по пути /var/log/dirsrv/slapd-ALD-LOCAL) и включает в себя следующие журналы:

    • access — журнал доступа к серверу каталогов. Содержит подробную информацию о клиентских подключениях к каталогу;

    • errors — журнал ошибок сервера каталогов. Содержит сообщения о транзакциях и операциях сервера каталогов. Это могут быть сообщения об ошибках при неудачных операциях, но они также содержат общую информацию о процессах сервера каталогов и задачах LDAP, например, сообщения о запуске сервера, входы в систему и поиск в каталоге, а также информацию о соединении;

    • audit — журнал аудита фиксирует изменения, внесенные в экземпляр сервера. В отличие от журнала ошибок (errors) и доступа (access), журнал аудита не записывает доступ к экземпляру сервера, поэтому поиск в базе данных не регистрируется. Журнал аудита форматируется иначе, чем журналы доступа и ошибок, и представляет собой файл LDIF с отметкой времени;

    • security — журнал безопасности. Содержит сведения об аутентификации/авторизации к серверу службы каталогов;

  • /var/log/krb5kdc.log — журнал событий сервера Kerberos. Содержит сведения об аутентификации/авторизации;

  • /var/log/aldpro/, /var/log/rbta-ad — каталоги содержит общие журналы событий ALD Pro;

  • /var/log/samba/ — каталог содержит журналы событий о функционировании служб Samba;

  1. для подсистемы «Печать» дополнительно доступны журналы событий, находящиеся в каталоге /var/log/cups/:

  • access_log — журнал доступа веб-сервера cups. В журнале доступа к серверу записываются запросы, обработанные сервером;

  • error_log — журнал событий планировщика заданий печати. Содержит информационные, предупреждающие события и сообщения об ошибках, возникающие при работе планировщика заданий печати;

  • page_log — журнал событий, связанный с печатью документов. Содержит информацию о принтере, с которого осуществилась печать, пользователе, количестве отпечатанных страниц и других данных;

  1. для подсистемы «Общий доступ к сетевым дискам» дополнительно доступны журналы событий, находящиеся в каталоге /var/log/samba/. Журналы событий содержат сведения о функционировании служб Samba;

  2. для подсистемы «Мониторинг» дополнительно доступен журнал событий, находящийся в каталоге /var/log/zabbix-server. Файл журнала zabbix_server.log содержит сведения о функционировании сервера Zabbix.