Например, в файле /usr/local/stat/providers/apache_provider_1.0/provider_config по умолчанию такая запись use_command_line_args, свидетельствующая о том, что параметры берутся с командной строки. А в linuxstat_provider_1.0/provider_config занесены файлы и каталоги, доступ к которым будет контролироваться сенсором LinSTAT.

Теперь конкретней о некоторых сенсорах и сопутствующих приложениях. Как уже говорилось выше, LinSTAT является версией утилиты аудита системы SNARE (System iNtrusion Analysis and Reporting Environment) с уже настроенными параметрами контроля. После установки в вашем распоряжении будет динамически загружаемый модуль ядра auditmodule.o и три утилиты auditdaemon, linuxstat и praudit. Модуль, работая в пространстве ядра, отлавливает критические системные вызовы вроде «execve» (выполнение команды), «open» (открыть файл), «mkdir» (создать каталог) и отправляет результат к подпрограмме, которая собирает всю информацию относительно процесса и пользователя, его запустившего, или просто попытавшегося выполнить рассматриваемый системный вызов. Модуль сохраняет информацию во временном буфере, который может быть прочитан при помощи auditdaemon или linuxstat. Эти две программы по сути являются пользовательским интерфейсом к auditmodule.o, считываются данные через устройство /proc/audit. При этом auditdaemon собирает все данные и сохраняет их в бинарном формате в файл (по умолчанию /var/log/snare/audit), для того чтобы просмотреть события, ее можно извлечь при помощи praudit.

#auditdaemon -o /var/log/snare/audit-`date -I`

#praudit -c /var/log/snare/audit-2004-09-02

...

EVENT #26: act: READ, time: Thu Sep  2 17:46:59 2004, retcode: 2, exec_args: gpm, pathname:

/usr/sbin/gpm, uid: 0, gid: 0, euid: 0, egid: 0, pid: 991, ppid: 1, pwd: /, objname: /dev/tty0, owner: 0,

gowner: 0, inode: 36763, dev: 770, perm: rw—w----

...

End of file /var/log/snare/audit (33 events in 4335 bytes: 131.36 bytes/event)

Утилита linuxstat работает в двух режимах live и offline. В режиме live информация берется непосредственно с /proc/audit и сразу же анализируется сценариями STAT, в offline анализируется файл, созданный auditdaemon.

В live-режиме программу можно запустить так:

#linuxstat -name LinSTAT:1.0 -hostname localhost -live

А в offline так:

#linuxstat -name LinSTAT:1.0 -hostname localhost -offline /var/log/snare/audit-2004-09-02