Настройка журналирования событий безопасности на КД и сбор данных журналов на сервере аудита#
Все описания настройки журналов в разделах:
Настройка журналирования событий доступа к файлам в службе Samba;
Настройка журналирования событий создания и запуска нового процесса пользователем;
Настройка журналирования события подключения к каталогу LDAP
написаны как полностью независимые блоки (каждый раздел можно настраивать полностью самостоятельно), поэтому внутри каждого из разделов идет пункт о перезапуске сервиса syslog-ng.
Можно обратиться к разделу, где указаны последовательно все команды для полной настройки КД и сервера общего доступа к файлам, а также сервера аудита для сбора всех журналов по данной инструкции.
Во всех командах и примерах далее в документе:
ldap://alddc1.ald.lan— URL в LDAP контроллера домена ПКД, на котором требуется включить расширенный аудит;ALDPRO-LAN — наименование домена ПКД, на котором происходит настройка правил;
ПАРОЛЬ_АДМИНИСТРАТОРА — вместо данной строки должен использоваться реальный пароль администратора (пользователя с правами на конфигурацию служб) конкретного КД;
100.100.100.100 — IP-адрес компьютера (возможно использование и доменного имени компьютера, но предпочтительно использовать IP-адрес), с развернутой подсистемой аудита.
Перед выполнением команд по конфигурации службы каталога можно выключить запись истории команд в командной строке, чтобы пароль администратора или другого привилегированного пользователя не сохранялся в истории, или же использовать другие способы (например, не использовать ключ «-w», тогда после ввода каждой команды потребуется ввод пароля администратора, помимо этого, можно использовать переменные среды в командах ниже, куда предварительно необходимо внести нужную информацию).