Файлы аудита

Интерес для администратора могут представлять файлы протоколов, а также файлы, которые создаются прикладными программами в процессе своего функционирования, но не являются объектом работы пользователя или протоколом работы прикладной программы.

Файлы аудита обычно имеют расширение .log (для системы расширения имен не требуется, оно предназначается для пользователя или администратора) и располагаются в каталогах /etc/init.d/, /etc/rc*, /etc/red/, var/log/.

Основные файлы системных протоколов (журналы) ОС Linux находятся в каталоге /var/log. Информация о функционировании системы и работе пользователей записывается системными программами в определённые файлы этого каталога. Большей частью журналы представляют собой текстовые файлы, в которые информация записывается построчно и последовательно. Некоторые файлы представляют собой двоичные файлы определённой структуры, содержимое которых необходимо просматривать системными программами, интерпретирующими содержимое этих файлов в удобный для просмотра вид. Каталог /var/log содержит следующие основные файлы аудита:

У "messages" - текстовый основной файл, содержащий протоколируемую информацию о системе и процессах категории выше "info" и ниже "warn";

У "secure" - текстовый файл, содержащий информацию о попытках получения пользователями полномочий root;

> "wtmp" - двоичный файл, содержащий информацию о всех регистрациях
пользователей в системе (утилита для работы с этим файлом - "last").