Журнал аудита в защищенной ОС¶
Данный раздел содержит информацию об управлении журналом аудита в защищенной ОС. Общие сведения о настройки журнала приведены в разделе Использование журнала аудита.
Реализация доступа к журналу¶
Функциональные особенности Picodata не предполагают чтение событий из консоли самой СУБД и от имени администратора или пользователя СУБД, и поэтому чтение журнала выполняется на уровне пользователя защищенной ОС с использованием предоставляемых ею инструментов.
Picodata поддерживает запись событий в системный журнал
ОС с последующим доступом к нему
через службу journald (picodata run --audit=syslog:).
Информация по использованию journald приведена в документации ОС Альт 8
СП,
Руководство по комплексу средств защиты, пп. 3.7.1.2–3.7.1.9.
Разграничение доступа к журналу¶
При работе в защищенной ОС администратор СУБД/БД должен действовать от лица соответствующего служебного пользователя в ОС, которому разрешен доступ к файлу журнала событий.
Разграничение доступа к файлам журнала регулируется с помощью доступа к
директории, в которой journald хранит файлы журнала. Для доступа к
этой директории служебный пользователь ОС должен состоять в группе
systemd-journal. Добавление пользователя в эту группу производится
следующей командой:
usermod -a -G systemd-journal <user_name>
Ротация и архивирование журнала¶
Ротация и архивация журнала достигается средствами, входящими в состав
защищенной ОС. Для ограничения максимального объема файлов журнала и
управления свободным местом на диске следует соответствующим образом
отредактировать файл /etc/systemd/journald.conf.
Подробности приведены в документации ОС Альт 8 СП, Руководство по комплексу средств защиты, п. 3.7.9. "Управление логгированием".