Непонятное с AUDITом

[mplane]

Проверял. Перегенерировал. Не помогает. Благо сервер виртуальный, то попробую пересетапиться. Может отпустит.

[Radik]

По документации рекомедуют почистить кеш sys:/etc/logcache сервера аудита.

[mplane]

По документации рекомедуют почистить кеш sys:/etc/logcache сервера аудита.

Я аудит полностью пересетапливал. Убивал все от него. Только схему не трогал.

[bgInner]

Создай NCF-файл:

Код: Выделить всё

#
# Генерим сертификаты для аудита
#

#audcgen ss  -base:system -cacert:sls_cert.pem -capkey:sls_pkey.pem -f

#audcgen app -base:system -name:eDirInst -cacert:sls_cert.pem -capkey:sls_pkey.pem -appcert:dsicert.pem -apppkey:dsipkey.pem -f -valid:3650
#audcgen app -base:system -name:netwareInst -cacert:sls_cert.pem -capkey:sls_pkey.pem -appcert:nwicert.pem -apppkey:nwipkey.pem -f -valid:3650

# проверяем сертификаты
#audcgen verify -base:system -name:eDirInst -cacert:sls_cert.pem -capkey:sls_pkey.pem -appcert:dsicert.pem -apppkey:dsipkey.pem
#audcgen verify -base:system -name:netwareInst -cacert:sls_cert.pem -capkey:sls_pkey.pem -appcert:nwicert.pem -apppkey:nwipkey.pem 

По очереди раскомментаривай строчки и выполняй (раскомментарил,выполнил,закомментарил)
После выполнения каждой команды смотри логгер на предмет наличия ошибок.
Важно! Не изменяй имена pem-файлов!

Пропиши в настройках сервера аудита (через iManager) пути (относительно тома SYS) к sls_cert.pem и sls_pkey.pem:
system\sls_cert.pem
system\sls_pkey.pem

После этого перезапусти аудит:
# stop
auditstp
unload lengine

#start
auditsvr
auditagt

Всё должно заработать.

[mplane]

Спасибо всем!!!
Кажись проблема решилась!
Оказывается я не закоментил загрузку агента на одном из серверов (хотя был уверен на все 100% что везде это сделал), "враги" бутнули сервер, агент поднялся и он постоянно долбился на сервер аудита. А т.к. у него не было сертификата, то и получал ошибки.

[mplane]

Ребята. Можно еще 1 вопрос.
Аудит работает, но я заметил, что я не могу посмотреть к примеру файлы которые были удалены за неделю. Максимум я вижу за сегодня и вчера. Файлы БД создаются. Пересмотрел параметры, почитал, но почему нет данных за неделю и месяц не пойму. Может кто подскажет что это может быть? Мне тут подсказали про "скрипт очистки в настройках лог-сервера: очевидно, он каждый день удаляет старые данные". Но ничего подобного я не нашел.

[Radik]

Проверить конфигурацию канала для базы данных.
iManager - Auditing and Logging - Logging Server Options - сервер аудита - Channels - MySQL - Configuration - Advanced - SQL Expiration Commands:

[mplane]

Делал по мануалу.

SQL Expiration Commands:

Код: Выделить всё

create table newtable ($T) $e;RENAME TABLE $l TO l$n, newtable TO $l;

Я думаю может тут проблема. -> Expire at specified time or interval:

Код: Выделить всё

Mounthly

Было 23:00.
Т.е. как я понял, каждую ночь база начиналась сначала и поэтому предыдущие даты недоступны.