Config for auditd.conf

#根据自己的理解翻译了一下,所有的变量的值都为默认
######################################################
# This file controls the configuration of the audit daemon
# http://doc.opensuse.org/products/draft/SLES/SLES-security_draft/cha.audit.comp.html

#audit 日志的存放位置
log_file = /var/log/audit/audit.log

#定义 audit 信息如何写入磁盘:RAW 表示内核将数据发送给日志文件;NOLOG 表示不会写入日志。如果使用后者,传送给 audit dispatcher 的数据不受影响
log_format = RAW

#日志文件的 group,可以使用 group 的名字(root)或者 gid(0)来表示
log_group = root

# audit daemon 的优先级,取值范围为 0-4,数值越大优先级越高
priority_boost = 4

# 定义 audit log 是否,如果是,如何,多久将数据写入磁盘。有效数值有 none,incremental,data,sync。none 表示不要将 audit 的数据写入磁盘;incremental 表示将每一笔数据写入磁盘,此时 freq 变量需要定义,20 表示 audit daemon 请求内核每 20s 向磁盘中写入一次数据;data 表示始终同步数据;sync 不但同步数据还同步元数据
flush = INCREMENTAL
freq = 20

# 定义了 log 文件的数量如果 max_log_file_action 被设置为 rotates,允许的数值为 0-99。当执行轮转时,auditd 有可能会来不及处理从内核传来的新的数据,这会导致 backlog 的情况,此时,比较好的方法就是增加 backlog 的 limit
num_logs = 4

# 在 audit daemon 启动时 dispatcher 会被启动。disp_qos 决定是否让 audit deamon 和 dispatcher 进行 lossy 或者 lossless 的交流,如果选择 lossy,audit daemon 可能会在信息队列满了的时候丢弃某些 audit 信息。这些事件依然会写入磁盘如果 log_format 设置为 raw,但是他们不会通过 dispatcher。若选择lossless,audit 的写入功能会被堵塞直到消息队列中有空余的位置
disp_qos = lossy
dispatcher = /sbin/audispd

#决定电脑的名字如何解析,none 表示不使用名字;hostname 返回 hostname;fqd 返回 fqdn 形式的名字;numeric 返回 ip;user 自定义字符串,由下面的 name 决定
name_format = NONE
##name = mydomain

#每个日志文件的最大空间,以 M 为单位
max_log_file = 5

#max_log_file_action 决定了在达到最大空间后的措施:ignore 告诉 audit daemon 当 max_log_file 达到规定值时不做任何处理;syslog 表示产生一个警报并将其发送给 syslog,/var/log/message;suspend 将会让 audit daemon 停止向磁盘写入数据;rotate 将会使用 num_logs 进行轮转;key_logs 也会轮转,但是不会使用 num_logs 的设定,所以会保留所有的日志
max_log_file_action = ROTATE

#以 M 为单位表示磁盘空间的容量,达到该值即触发 space_left_action 定义的动作
space_left = 75

# 达到上述容量后采取的措施:ignore 告诉 audit daemon 忽略警告,不采取任何行动;syslog 产生报警信息写入 syslog;email 将警报信息发送给 action_mail_acct 定义的用户;exec 附加一个路径给脚本,让其执行给定的脚本;suspend 告诉 audit daemon 停止写入磁盘;signle 将系统转换到单用户模式下;halt 表示关机
space_left_action = SYSLOG

#定义邮件地址或者是 alias,以便系统将警报信息发送出去,默认是 root
action_mail_acct = root

#相当于 space_left 的前奏措施,该值要求比 space_left 低
admin_space_left = 50

#达到上述值时采取的措施,跟 space_left_action 含义相同
admin_space_left_action = SUSPEND

#定义了没有空间记录 audit 日志时的动作,同上
disk_full_action = SUSPEND

#当 audit daemon 写入日志到磁盘或者轮转日志发生错误时的措施,同上
disk_error_action = SUSPEND

#audit daemon 可以从其他的 audit daemon 接受 audit 事件,tcp 参数让你可以控制进来的连接,tcp_listen_port 定义了在 1-65535 之间的用于 auditd 监听的端口
##tcp_listen_port =

#等待连接的最大值
#tcp_listen_queue = 5
tcp_listen_queue = 20

tcp_max_per_addr = 1

#定义了哪些客户端的端口是被允许的,可以定义单个端口或者使用破折号定义一个范围的端口,如果只定义一个端口,当重新启动 audit 子系统时,由于不能在同一个主机地址和端口重新产生一个连接,这会导致重启失败,直到 TIME_WAIT 状态超时连接关闭
##tcp_client_ports = 1024-65535
tcp_client_ports = 1024-65535

#上述超时时间
tcp_client_max_idle = 0

enable_krb5 = no
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key