| 4.3. Relatórios | ||
|---|---|---|
 | Capítulo 4. Gerenciando aplicativos em perfil |  |
| 4.3. Relatórios | ||
|---|---|---|
| | Capítulo 4. Gerenciando aplicativos em perfil | |
O recurso de geração de relatório do Novell AppArmor confere flexibilidade, o que aprimora a maneira como os usuários podem ver os dados de evento de segurança. A ferramenta de relatório executa o seguinte:
Cria relatórios sob demanda
Exporta relatórios
Programa relatórios periódicos para arquivamento
Envia relatórios periódicos por e-mail
Filtra dados de relatório por data
Filtra dados de relatório por outras opções, como nome de programa
Usando relatórios, é possível ler eventos de segurança importantes do Novell AppArmor relatados nos arquivos de registro sem precisar peneirar manualmente as mensagens pesadas, úteis apenas para a ferramenta logprof. É possível restringir o tamanho do relatório, filtrando por faixa de datas ou nome de programa. Também é possível exportar um arquivo html ou csv .
Os três tipos de relatórios disponíveis no Novell AppArmor são:
Um relatório combinado, que consiste em um ou mais relatórios de incidente de segurança em uma ou mais máquinas. Este relatório pode fornecer uma visão única dos eventos de segurança em várias máquinas. Para obter mais detalhes, consulte Seção 4.3.1.3, “Resumo de Segurança Executivo” (↑Guia de Administração do Novell AppArmor 2.0).
Uma ferramenta de auditoria que informa quais servidores de aplicativos estão em execução e se os aplicativos são delimitados pelo AppArmor. Os servidores de aplicativos são aplicativos que aceitam conexões de entrada de rede. Para obter mais detalhes, consulte Seção 4.3.1.1, “Relatório de Auditoria de Aplicativos” (↑Guia de Administração do Novell AppArmor 2.0).
Um relatório que exibe a segurança de aplicativo de um único host. Ele relata as violações de política para aplicativos delimitados localmente durante um período de tempo específico. Você pode editar e personalizar este relatório ou adicionar novas versões. Para obter mais detalhes, consulte Seção 4.3.1.2, “Relatório de Incidentes de Segurança” (↑Guia de Administração do Novell AppArmor 2.0).
Para usar os recursos de relatório do Novell AppArmor, prossiga com as seguintes etapas:
Para executar relatórios, abra +. A interface do Novell AppArmor é aberta.
 |
Em , clique em . A janela será exibida. Na janela , selecione uma opção e prossiga para a seção para obter instruções:
 |
Exibe todos os relatórios que foram executados e armazenados em /var/log/apparmor/reports-archived/. Selecione o relatório que deseja ver detalhadamente e clique em . Para obter instruções sobre , vá para a Seção 4.3.1, “Visualizando relatórios arquivados” (↑Guia de Administração do Novell AppArmor 2.0).
Produz uma versão instantânea do tipo de relatório selecionado. Se você selecionar um relatório de incidente de segurança, ele pode ser filtrado ainda mais de várias maneiras. Para obter instruções sobre , vá para a Seção 4.3.2, “Executar Agora: executando relatórios sob demanda” (↑Guia de Administração do Novell AppArmor 2.0).
Cria um relatório de incidente de segurança programado. Para obter instruções sobre , vá para a Seção 4.3.3, “Adicionando novos relatórios” (↑Guia de Administração do Novell AppArmor 2.0).
Edita um relatório de incidente de segurança programado.
Apaga um relatório de incidente de segurança programado. Todos os relatórios de ações ou padronizados não podem ser apagados.
Retorna à tela principal do Novell AppArmor.
Retorna à tela principal do Novell AppArmor.
Executa a mesma função do botão .
permite que você especifique a localização de um acúmulo de relatórios de um ou mais sistemas, incluindo a capacidade de filtrar por data ou nomes de programas acessados e exibi-los juntos em um relatório.
Na janela , selecione .
 |
Selecione o tipo de relatório a ser visualizado. Alterne entre os diversos tipos (, e (Relatório de Incidente de Segurança - Auditoria de Aplicativos - Resumo de Segurança Executivo).
Você pode alterar a localização do diretório dos relatórios arquivados em . Selecione para usar o diretório atual ou selecione para encontrar uma nova localização de relatório. O diretório padrão é /var/log/apparmor/reports-archived/.
Para visualizar todos os relatórios no arquivo, selecione . Para visualizar um relatório específico, selecione um arquivo de relatório indicado no campo , e selecione .
Para os relatórios e , prossiga para o Passo 9 (↑Guia de Administração do Novell AppArmor 2.0).
A abre para relatórios de .
 |
A permite filtrar os relatórios selecionados na tela anterior. Digite os detalhes de filtro desejados. Os campos são:
Para exibir relatórios para um determinado período de tempo, selecione . Digite as datas de início e término que definem o escopo do relatório.
Ao digitar um padrão ou nome de programa que corresponda ao nome do arquivo binário executável do programa de interesse, o relatório exibirá eventos de segurança que ocorreram para um programa específico.
Ao digitar o nome do perfil, o relatório exibirá os eventos de segurança gerados para o perfil especificado. Use isso para ver o que está sendo delimitado por um perfil específico.
O identifica exclusivamente um processo ou programa em execução específico (esse número é válido somente durante o tempo de vida desse processo).
Selecione o nível de gravidade mais baixo para os eventos de segurança que deseja incluir no relatório. O nível de gravidade selecionado e acima serão incluídos nos relatórios.
Uma fonte à qual o perfil negou acesso. Isso inclui recursos e arquivos. Use esse campo para relatar os recursos aos quais os perfis impedem acesso.
O tipo de acesso descreve o que está realmente acontecendo com o evento de segurança. As opções são: PERMITTING, REJECTING ou AUDITING.
O é a permissão concedida pelo perfil ao programa ou processo ao qual ele é aplicado. As opções são: r (ler) w (gravar) l (vincular) x (executar).
Permite que você exporte um arquivo CSV (valores separados por vírgula) ou HTML. O arquivo CSV usa vírgulas para separar partes de dados nas entradas de registro, usando um formato de dados padrão para importar para aplicativos orientados a tabelas. Você pode digitar um nome de caminho completo para seu relatório exportado no campo fornecido.
Permite mudar a localização de armazenamento do relatório exportado. A localização padrão é /var/log/apparmor/reports-exported. Ao mudar esta localização, selecione . Selecione para pesquisar o sistema de arquivos.
Para ver o relatório, filtrado como desejado, selecione . É exibido um dos três relatórios.
Consulte as seções a seguir para obter informações detalhadas sobre cada tipo de relatório.
Para o relatório de auditoria de aplicativos, consulte Seção 4.3.1.1, “Relatório de Auditoria de Aplicativos” (↑Guia de Administração do Novell AppArmor 2.0).
Para o relatório de incidentes de segurança, consulte Seção 4.3.1.2, “Relatório de Incidentes de Segurança” (↑Guia de Administração do Novell AppArmor 2.0).
Para o relatório de resumo executivo, consulte Seção 4.3.1.3, “Resumo de Segurança Executivo” (↑Guia de Administração do Novell AppArmor 2.0).
Uma ferramenta de auditoria que informa quais servidores de aplicativos estão em execução e se os aplicativos são delimitados pelo AppArmor. Os servidores de aplicativos são aplicativos que aceitam conexões de entrada de rede. Esse relatório fornece o endereço IP da máquina de host, a data de execução do Relatório de Auditoria de Aplicativos, o nome e caminho do servidor de aplicativos ou programa não delimitado, o perfil sugerido ou um marcador para um perfil de um programa não delimitado, o número de ID do processo, o estado do programa (delimitado ou não) e o tipo de delimitação que o perfil está executando (forçado/reclamação).
A tela a seguir representa um relatório de auditoria de aplicativos:
 |
Veja abaixo as definições para os campos do relatório de auditoria de aplicativos:
A máquina protegida pelo AppArmor para a qual os eventos de segurança são relatados.
A data em que ocorreram os eventos de segurança.
O nome do processo em execução.
O nome absoluto do perfil de segurança aplicado ao processo.
O número de ID do processo identifica exclusivamente um processo ou programa em execução específico (esse número é válido somente durante o tempo de vida desse processo).
Este campo revela se o programa indicado no campo de programa é delimitado. Se não for delimitado, é possível criar um perfil para ele.
O campo revela o tipo de delimitação que o evento de segurança representa. Diz se é reclamação ou aplicação. Se o aplicativo não for delimitado (estado), nenhum tipo de delimitação é relatado.
Um relatório que exibe eventos de segurança de interesse para o administrador. Ele relata as violações de política para aplicativos delimitados localmente durante um período de tempo específico. O estado do mecanismo de política e as exceções de política dos relatórios SIR mudam. Esses dois tipos de eventos de segurança são definidos da seguinte forma:
Quando um aplicativo solicita um recurso não definido em seu perfil, um evento de segurança é gerado. É gerado um relatório que exibe eventos de segurança de interesse para o administrador. Ele relata as violações de política para aplicativos delimitados localmente durante um período de tempo específico. O estado do mecanismo de política e as exceções de política dos relatórios SIR mudam.
Aplica a política nos aplicativos e mantém seu próprio estado, inclusive quando o mecanismo inicia ou pára, quando a política é recarregada e quando o recurso de segurança global é habilitado ou desabilitado.
A tela a seguir representa um relatório SIR:
 |
Veja abaixo as definições para os campos do relatório SIR:
A máquina protegida pelo AppArmor para a qual os eventos de segurança são relatados.
A data em que ocorreram os eventos de segurança.
O nome do processo em execução.
O nome absoluto do perfil de segurança aplicado ao processo.
O número de ID do processo identifica exclusivamente um processo ou programa em execução específico (esse número é válido somente durante o tempo de vida desse processo).
Os níveis de gravidade dos eventos são relatados do banco de dados de gravidade. O banco de dados de gravidade define a importância dos eventos de segurança potenciais e numera-os de um a dez, dez sendo o incidente de segurança mais grave. Os níveis de segurança são determinados pela ameaça ou importância dos diversos eventos de segurança, como determinados recursos acessados ou serviços negados.
O modo é a permissão concedida pelo perfil ao programa ou processo ao qual ele é aplicado. As opções são r (ler) w (gravar) l (vincular) x (executar).
Uma fonte à qual o perfil negou acesso. Isso inclui recursos e arquivos. Use esse campo para relatar os recursos aos quais os perfis impedem acesso.
O tipo de acesso descreve o que está realmente acontecendo com o evento de segurança. As opções são PERMITTING, REJECTING ou AUDITING.
Um relatório combinado que consiste em um ou mais relatórios de alto nível de uma ou mais máquinas. Esse relatório poderá fornecer uma visão única dos eventos de segurança em várias máquinas, se os dados de cada máquina forem copiados para o diretório de relatórios arquivados: /var/log/apparmor/reports-archived. Esse relatório fornece o endereço IP da máquina de host, as datas de início e término dos eventos em poll, número total de rejeições, número total de eventos, média dos níveis de gravidade relatados e o nível mais alto de gravidade relatado. Uma linha do relatório ESS representa uma faixa dos relatórios SIR.
A tela a seguir representa um Resumo de Segurança Executivo:
 |
Veja abaixo as definições para os campos do resumo de segurança executivo:
A máquina protegida pelo AppArmor para a qual os eventos de segurança são relatados.
A primeira data em uma faixa de datas durante as quais eventos de segurança são relatados.
A última data em uma faixa de datas durante as quais eventos de segurança são relatados.
Na faixa de datas determinada, o número total de eventos de segurança que são tentativas de acesso negadas.
Na faixa de datas determinada, o número total de eventos de segurança.
É a média dos níveis de gravidade relatados na faixa de datas dada. Gravidades desconhecidas são desconsideradas neste número.
É a gravidade do evento de gravidade mais alta relatada na faixa de datas determinada.
O recurso de relatório permite que você extraia informações de relatório instantaneamente dos registros de evento do Novell AppArmor sem esperar pelos eventos programados. Retorne ao início desta seção se precisar de ajuda para navegar para a tela de relatório principal (consulte a Seção 4.3, “Relatórios” (↑Guia de Administração do Novell AppArmor 2.0)). Execute as seguintes etapas para executar um relatório da lista de relatórios:
Selecione o relatório a executar instantaneamente da lista de relatórios na janela .
Selecione ou . A tela seguinte depende do relatório selecionado na etapa anterior. Para os relatórios e , prossiga para o Passo 6 (↑Guia de Administração do Novell AppArmor 2.0).
A é exibida para relatórios de incidente de segurança.
|
A permite que você filtre os relatórios selecionados na tela anterior. Digite os detalhes de filtro desejados. As seguintes opções de filtro estão disponíveis:
Para limitar relatórios a um determinado período de tempo, selecione . Digite as datas de início e término que definem o escopo do relatório.
Ao digitar um padrão ou nome de programa que corresponda ao nome do arquivo binário executável do programa de interesse, o relatório exibirá eventos de segurança que ocorreram para um programa específico.
Ao digitar o nome do perfil, o relatório exibirá os eventos de segurança gerados para o perfil especificado. Use isso para ver o que está sendo delimitado por um perfil específico.
O número de ID do processo identifica exclusivamente um processo ou programa em execução específico (esse número é válido somente durante o tempo de vida desse processo).
Selecione o nível de gravidade mais baixo para os eventos de segurança que deseja incluir no relatório. O nível de gravidade selecionado e acima serão incluídos nos relatórios.
Uma fonte à qual o perfil negou acesso. Isso inclui recursos e arquivos. Use esse campo para relatar os recursos aos quais os perfis impedem acesso.
O tipo de acesso descreve o que está realmente acontecendo com o evento de segurança. As opções são PERMITTING, REJECTING ou AUDITING.
O modo é a permissão concedida pelo perfil ao programa ou processo ao qual ele é aplicado. As opções são r (ler) w (gravar) l (vincular) x (executar).
Permite que você exporte um arquivo CSV (valores separados por vírgula) ou HTML. O arquivo CSV usa vírgulas para separar partes de dados nas entradas de registro, usando um formato de dados padrão para importar para aplicativos orientados a tabelas. Você pode digitar um nome de caminho completo para seu relatório exportado no campo fornecido.
Permite que você mude a localização de armazenamento do relatório exportado. A localização padrão é /var/log/apparmor/reports-exported. Ao mudar esta localização, selecione . Selecione para pesquisar o sistema de arquivos.
Para ver o relatório, filtrado como desejado, selecione . É exibido um dos três relatórios.
Consulte as seções a seguir para obter informações detalhadas sobre cada tipo de relatório.
Para o relatório de auditoria de aplicativos, consulte Seção 4.3.1.1, “Relatório de Auditoria de Aplicativos” (↑Guia de Administração do Novell AppArmor 2.0).
Para o relatório de incidente de segurança, consulte Seção 4.3.1.2, “Relatório de Incidentes de Segurança” (↑Guia de Administração do Novell AppArmor 2.0).
Para o relatório de resumo executivo, consulte Seção 4.3.1.3, “Resumo de Segurança Executivo” (↑Guia de Administração do Novell AppArmor 2.0).
Adicionar novos relatórios permite que você crie um relatório de incidente de segurança programado que exibe eventos de segurança do Novell AppArmor de acordo com filtros predefinidos. Quando um relatório é configurado em , ele inicia periodicamente um relatório de eventos de segurança do Novell AppArmor que ocorreram no sistema.
Você pode configurar relatórios para serem executados em um período especificado a cada mês, semana, dia ou hora. Você pode configurar o relatório para exibir rejeições para determinados níveis de gravidade ou para filtrar por nome de programa, nome de perfil, nível de gravidade ou recursos negados. Este relatório pode ser exportado para um formato de arquivo HTML (Hypertext Markup Language) ou CSV (Comma Separated Values).
![[Note]](admon/note.png) | Nota |
|---|---|
Retorne ao início desta seção se precisar de ajuda para navegar para a tela de relatório principal (consulte a Seção 4.3, “Relatórios” (↑Guia de Administração do Novell AppArmor 2.0)). | |
Para adicionar um novo relatório de incidente de segurança programado:
Clique em para criar um novo relatório de incidente de segurança. A primeira página de é aberta.
 |
Preencha os campos com as seguintes informações sobre filtro, conforme a necessidade:
Especifique o nome do relatório. Use nomes que diferenciem facilmente um relatório do próximo.
Selecione um dia do mês para ativar a filtragem mensal nos relatórios. Se você selecionar Todos, a filtragem mensal não será realizada.
Selecione o dia da semana para programar relatórios semanais, se desejado. Se você selecionar Todos, a filtragem semanal não é realizada. Se for selecionado relatório mensal, este campo assume como padrão Todos.
Selecione a hora. Especifica a hora e o minuto em que deseja executar os relatórios. Se não mudar a hora, os relatórios selecionados são executados à meia-noite. Se nem mês ou dia da semana forem selecionados, o relatório é executado diariamente na hora especificada.
Você tem a capacidade de enviar o relatório de incidente de segurança programado por e-mail a até três destinatários. Basta inserir os endereços de e-mail de quem solicita informações de incidentes de segurança.
Permite que você exporte um arquivo CSV (valores separados por vírgula) ou HTML. O arquivo CSV usa vírgulas para separar partes de dados nas entradas de registro, usando um formato de dados padrão para importar para aplicativos orientados a tabelas. Você pode digitar um nome de caminho completo para seu relatório exportado no campo fornecido.
Permite que você mude a localização de armazenamento do relatório exportado. A localização padrão é /var/log/apparmor/reports-exported. Ao mudar esta localização, selecione . Selecione para pesquisar o sistema de arquivos.
Clique em para ir até a segunda página de .
 |
Preencha os campos com as seguintes informações sobre filtro, conforme a necessidade:
Você pode especificar um padrão ou nome de programa que corresponda ao nome do arquivo binário executável do programa de interesse. O relatório exibe eventos de segurança que ocorreram apenas para o programa especificado.
Você pode especificar o nome do perfil para o qual o relatório deve exibir eventos de segurança. Use isso para ver o que está sendo delimitado por um perfil específico.
O número de ID do processo identifica exclusivamente um processo ou programa em execução específico (esse número é válido somente durante o tempo de vida desse processo).
Uma fonte à qual o perfil negou acesso. Isso inclui recursos e arquivos. Use esse campo para criar um relatório dos recursos aos quais os perfis impedem acesso.
Selecione o nível de gravidade mais baixo para os eventos de segurança a incluir no relatório. O nível de gravidade selecionado e acima serão incluídos nos relatórios.
O tipo de acesso descreve o que está realmente acontecendo com o evento de segurança. As opções são PERMITTING, REJECTING ou AUDITING.
O modo é a permissão concedida pelo perfil ao programa ou processo ao qual ele é aplicado. As opções são r (ler) w (gravar) l (vincular) x (executar).
Clique em para gravar este relatório. O Novell AppArmor retorna para a janela principal , onde o relatório recém-programado aparece na lista de relatórios.
Na tela do AppArmor, você pode selecionar e editar um relatório. Os relatórios de ações não podem ser editados nem apagados.
| Nota |
|---|---|
Retorne ao início desta seção se precisar de ajuda para navegar para a tela de relatório principal (consulte a Seção 4.3, “Relatórios” (↑Guia de Administração do Novell AppArmor 2.0)). | |
Execute as seguintes etapas para executar um relatório da lista de relatórios:
Na lista de relatórios da janela , selecione o relatório a editar.
Clique em para editar o relatório de incidente de segurança. A primeira página de é aberta.
 |
Digite as seguintes informações de filtragem, conforme a necessidade:
Selecione um dia do mês para ativar a filtragem mensal nos relatórios. Se você selecionar Todos, a filtragem mensal não será realizada.
Selecione o dia da semana para programar relatórios semanais, se desejado. Se você selecionar Todos, a filtragem semanal não será realizada. Se for selecionado relatório mensal, este campo assume como padrão Todos.
Selecione a hora. Especifica a hora e o minuto em que deseja executar os relatórios. Se você não mudar a hora, os relatórios selecionados serão executados à meia-noite. Se nem dia do mês ou dia da semana forem selecionados, o relatório será executado diariamente na hora especificada.
Você tem a capacidade de enviar o relatório de incidente de segurança programado por e-mail a até três destinatários. Basta inserir os endereços de e-mail de quem solicita informações de incidentes de segurança.
Permite que você exporte um arquivo CSV (valores separados por vírgula) ou HTML. O arquivo CSV usa vírgulas para separar partes de dados nas entradas de registro, usando um formato de dados padrão para importar para aplicativos orientados a tabelas. Você pode digitar um nome de caminho completo para seu relatório exportado no campo fornecido.
Permite que você mude a localização de armazenamento do relatório exportado. A localização padrão é /var/log/apparmor/reports-exported. Ao mudar esta localização, selecione . Selecione para pesquisar o sistema de arquivos.
Clique em para ir até a página seguinte de . A segunda página de é aberta.
 |
Preencha os campos com as seguintes informações sobre filtro, conforme a necessidade:
Você pode especificar um padrão ou nome de programa que corresponda ao nome do arquivo binário executável do programa de interesse. O relatório exibe eventos de segurança que ocorreram apenas para o programa especificado.
Você pode especificar o nome do perfil para o qual o relatório deve exibir eventos de segurança. Use isso para ver o que está sendo delimitado por um perfil específico.
O número de ID do processo identifica exclusivamente um processo ou programa em execução específico (esse número é válido somente durante o tempo de vida desse processo).
Uma fonte à qual o perfil negou acesso. Isso inclui recursos e arquivos. Use esse campo para criar um relatório dos recursos aos quais os perfis impedem acesso.
Selecione o nível de gravidade mais baixo para os eventos de segurança que deseja incluir no relatório. O nível de gravidade selecionado e acima serão incluídos nos relatórios.
O tipo de acesso descreve o que está realmente acontecendo com o evento de segurança. As opções são PERMITTING, REJECTING ou AUDITING.
O modo é a permissão concedida pelo perfil ao programa ou processo ao qual ele é aplicado. As opções são r (ler) w (gravar) l (vincular) x (executar).
Selecione para gravar as mudanças a este relatório. O Novell AppArmor retorna para a janela principal , onde o relatório programado aparece na lista de relatórios.
permite que você remova permanentemente um relatório da lista de relatórios programados do Novell AppArmor. Para apagar um relatório, siga estas instruções:
| |  | |
| 4.2. Configurando notificações de evento |  | 4.4. Reagindo a eventos de segurança |