Работа с журналом

Работа с логами

Логи сохраняются на сервере по пути /var/log/aldpro/. Для просмотра файлов логов необходимы sudo права.

Формат логов: {Тип_логов}_<имя правила rule1>.log.

Типы логов:

• Fly — логи авторизации Fly;

• Network — логи состояния подключения к сети;

• Connection — логи удаленного подключения.

Использование нескольких серверов аудита

ПКД не имеет ограничений по количеству серверов аудита. Но поддерживается использование уникального типа логов для одного сервера логов. Т.е. создание двух правил с типом логов, например, Логи авторизации Fly на одном сервере сбора логов запрещено.

Форсированное применение правил сбора журнала событий

Пользователь может выполнить принудительное обновление pillar и применение правил командой:

# salt-call state.apply gpupdate.audit -c /srv/salt/standalone/config/ pillar='{"verbose": True, "force": True}'

Флаг pillar='{"verbose": True}' нужен для получения логов выполнения заданий применения. Флаг pillar='{"force": True}' используется для принудительного удаление сохраненных ранее pillar.

Использовать флаг force: True рекомендуется осторожно, поскольку приводит к повышенной нагрузке на контроллер домена.

Команда обновления pillar в обычном порядке и последующее выполнения задания:

# salt-call schedule.run_job build_and_run_audit -c /srv/salt/standalone/config

Или:

# salt-call aldpro_audit.build_and_run_audit -c /srv/salt/standalone/config