| 4.3. 报告 | ||
|---|---|---|
 | 第 4 章 管理已构建配置文件的应用程序 |  |
| 4.3. 报告 | ||
|---|---|---|
| | 第 4 章 管理已构建配置文件的应用程序 | |
Novell AppArmor 的报告功能通过改进用户查看安全事件数据的方式增加了灵活性。报告工具执行以下操作:
创建按需报告
导出报告
安排定期报告存档
通过电子邮件发送定期报告
按日期过滤报告数据
通过程序名等其它选项过滤报告数据
通过使用报告,您可以阅读日志文件中报告的重要 Novell AppArmor 安全事件,而不必手动筛选只对 logprof 有用的繁杂消息。您可以按照日期范围或程序名称对报告进行过滤,以减小报告的大小。您还可以导出 html 或 csv 文件。
以下是 Novell AppArmor 中可用的三种报告类型:
由来自一台或多台计算机的一个或多个安全事件组成的组合报告。此报告可以提供对多台计算机上的安全事件的单一视图。有关详细信息,请参见第 4.3.1.3 节 “安全执行摘要” (↑Novell AppArmor 2.0 管理指南)。
一个审计工具,报告哪些应用程序服务器正在运行以及这些应用程序是否被 AppArmor 限制。应用程序服务器是接受外来网络连接的应用程序。有关详细信息,请参见第 4.3.1.1 节 “应用程序审计报告” (↑Novell AppArmor 2.0 管理指南)。
显示单个主机的应用程序安全的报告。它会在特定时间段内报告本地限制的应用程序的策略冲突。您可以编辑并自定义此报告或者添加新的版本。有关详细信息,请参见第 4.3.1.2 节 “安全事件报告” (↑Novell AppArmor 2.0 管理指南)。
要使用 Novell AppArmor 报告功能,请执行以下步骤:
要运行报告,请打开 +。Novell AppArmor 界面打开。
 |
在 中,单击 。此时出现 窗口。在窗口中,选择一个选项并查看相关部分中的说明:
 |
显示已运行并保存在 /var/log/apparmor/reports-archived/ 中的所有报告。选择要查看详细信息的报告,然后单击。有关的说明,请进入第 4.3.1 节 “查看存档报告” (↑Novell AppArmor 2.0 管理指南)。
生成选定报告类型的即时版报告。如果选择一个安全事件报告,则可以通过多种方式进行过滤。有关的说明,请进入第 4.3.2 节 “立即运行:运行按需报告” (↑Novell AppArmor 2.0 管理指南)。
创建预定的安全事件报告。有关的说明,请进入第 4.3.3 节 “添加新报告” (↑Novell AppArmor 2.0 管理指南)。
编辑预定的安全事件报告。
删除预定的安全事件报告。所有已入库或打包的报告都不能删除。
返回到 Novell AppArmor 主屏幕。
返回到 Novell AppArmor 主屏幕。
执行与按钮相同的功能。
允许您指定来自一个或多个系统的报告的位置,包括按日期或被访问程序的名称进行过滤以及在一个报告中显示它们的能力。
在 窗口中选择。
 |
选择要查看的报告类型。在不同的类型间切换((安全事件报告)、(应用程序审计)和 (安全执行摘要))。
您可以在中改变存档报告的目录位置。选择以使用当前目录,或选择以找一个新的报告位置。默认目录为 /var/log/apparmor/reports-archived/。
要查看档案中的所有报告,请选择。要查看指定报告,请选择字段中列出的报告文件,然后选择。
有关和报告,请进入步骤 9 (↑Novell AppArmor 2.0 管理指南)。
报告的打开。
 |
对话框允许您对在前一屏幕选择的报告进行过滤。输入所需的过滤细节。字段有:
要显示特定时间段内的报告,请选择。输入定义报告范围的开始和结束日期。
如果输入程序名称或输入与此程序的二进制可执行文件的名称相匹配的特征码,则报告会显示指定程序发生的安全事件。
如果输入配置文件的名称,报告会显示为指定配置文件生成的安全事件。您可以使用它来查看指定配置文件限制的内容。
是用于标识指定进程或运行中的程序的唯一编号(此编号仅在进程的有效期内有效)。
选择要包含到报告中的安全事件的最低严重性级别。所选严重性级别及以上的安全事件都将被包含到报告中。
配置文件拒绝其访问的来源。这包含功能和文件。您可以使用此字段报告配置文件防止访问的资源。
访问类型描述安全事件实际发生的情况。选项有:PERMITTING、REJECTING 或 AUDITING。
是配置文件授予适用的程序或进程的权限。选项有:r(读)w(写)l(链接)x(执行)。
允许您导出 CSV(逗号分隔的值)或 HTML 文件。CSV 文件使用标准数据格式以逗号分隔日志条目中的数据,以导入到面向表格的应用程序。您可以为导出的报告输入路径名,方法是在提供的字段中输入完整路径名。
允许您更改导出的报告的保存位置。默认位置为 /var/log/apparmor/reports-exported。更改此位置后,请选择。选择以浏览文件系统。
要查看报告,请根据需要进行过滤,然后选择。此时显示三种报告中的一种。
有关每种报告类型的详细信息,请参见以下章节。
有关应用程序审计报告,请参见第 4.3.1.1 节 “应用程序审计报告” (↑Novell AppArmor 2.0 管理指南)。
有关安全事件报告,请参见第 4.3.1.2 节 “安全事件报告” (↑Novell AppArmor 2.0 管理指南)。
有关执行摘要报告,请参见第 4.3.1.3 节 “安全执行摘要” (↑Novell AppArmor 2.0 管理指南)。
一个审计工具,报告哪些应用程序正在运行以及它们是否被 AppArmor 限制。应用程序服务器是接受外来网络连接的应用程序。此报告提供主机的 IP 地址、运行应用程序审计报告的日期、未限制程序或应用程序服务器的名称和路径、未限制程序的建议配置文件或占位符、进程 ID 编号、程序的状态(限制或未限制)以及配置文件执行的限制类型(强制或提示)。
以下屏幕显示了一个应用程序审计报告:
 |
以下是应用程序报告中各字段的定义:
受 AppArmor 保护并报告其安全事件的计算机。
发生安全事件的日期。
执行进程的名称。
适用于该进程的安全配置文件的绝对名称。
PID 编号是用于标识指定进程或运行中的程序的唯一编号(此编号仅在进程的有效期内有效)。
此字段表明程序字段中所列程序是否被限制。如果未被限制,您可能要考虑为其创建一个配置文件。
此字段表明安全事件代表的限制类型。可以是提示或强制。如果应用程序未被限制(状态),则不报告限制类型。
向管理员显示其需要的安全事件的报告。SIR 报告会在特定时间段内报告本地限制的应用程序的策略冲突。SIR 报告策略异常和策略引擎状态发生的变化。这两种类型的安全事件定义如下:
当应用程序请求一个没有在其配置文件中定义的资源时会触发一个安全事件。此时会生成一个报告,该报告向管理员显示其需要的安全事件。SIR 报告会在特定时间段内报告本地限制的应用程序的策略冲突。SIR 报告策略异常和策略引擎状态发生的变化。
强制实施应用程序的策略并维护其自身状态,包括启动或停止引擎的时间、重新装载策略的时间以及启用或禁用全局安全功能的时间。
以下屏幕显示了一个 SIR 报告:
 |
以下是 SIR 报告中各字段的定义:
受 AppArmor 保护并报告其安全事件的计算机。
发生安全事件的日期。
执行进程的名称。
适用于该进程的安全配置文件的绝对名称。
PID 编号是用于标识指定进程或运行中的程序的唯一编号(此编号仅在进程的有效期内有效)。
事件的严重性级别通过严重性数据库报告。严重性数据库定义潜在安全事件的重要性,编号为 1 到 10,10 为最严重的安全事件。严重性级别由不同安全事件的威胁或重要性决定,例如访问的特定资源或拒绝的服务。
模式是配置文件授予适用的程序或进程的权限。选项有 r(读取)、w(写)、l(链接)和 x(执行)。
配置文件拒绝其访问的来源。包括功能和文件。您可以使用此字段报告配置文件防止访问的资源。
访问类型描述安全事件实际发生的情况。选项为 PERMITTING、REJECTING 或 AUDITING。
由来自一台或多台计算机的一个或多个高级别报告组成的组合报告。如果计算机的数据被复制到报告档案目录 /var/log/apparmor/reports-archived,此报告可以提供多台计算机上的安全事件的单一视图。此报告提供主机的 IP 地址、轮询事件的开始和结束日期、拒绝总数、事件总数、报告的平均严重性级别以及报告的最高严重性级别。一行 ESS 报告代表一系列 SIR 报告。
以下屏幕显示了一个安全执行摘要:
 |
以下是安全执行摘要中各字段的定义:
受 AppArmor 保护并报告其安全事件的计算机。
报告安全事件的日期范围的开始日期。
报告安全事件的日期范围的结束日期。
在给定的日期范围内,被拒绝访问的安全事件总数。
给定日期范围内的安全事件总数。
给定日期范围内报告的严重性级别的平均数。此数据不考虑未知的严重性。
给定日期范围内报告的最严重事件的严重性。
报告功能允许您即时提取 Novell AppArmor 事件日志中的报告信息,而不用等待预定的事件。如果您需要导航到主报告屏幕的帮助,请返回到本节开头(请参见第 4.3 节 “报告” (↑Novell AppArmor 2.0 管理指南))。执行以下步骤以从一个报告列表中运行一个报告:
在窗口中,从一个报告列表中选择一个报告以立即运行。
选择或。下一屏幕取决于您在上一步中选择的报告。有关和报告,请进入步骤 6 (↑Novell AppArmor 2.0 管理指南)。
安全事件报告的显示。
|
允许您对在前一屏幕选择的报告进行过滤。输入所需的过滤细节。有以下过滤选项可用:
要显示特定时间段内的报告,请选择。输入确定报告范围的开始和结束日期。
如果输入程序名称或输入与此程序的二进制可执行文件的名称相匹配的特征码,则报告只显示指定程序发生的安全事件。
如果输入配置文件的名称,报告会显示为指定配置文件生成的安全事件。您可以使用它来查看指定配置文件限制的内容。
PID 编号是用于标识指定进程或运行中的程序的唯一编号(此编号仅在进程的有效期内有效)。
选择要包含到报告中的安全事件的最低严重性级别。所选严重性级别及以上的安全事件都将被包含到报告中。
配置文件拒绝其访问的来源。这包含功能和文件。您可以使用此字段报告配置文件防止访问的资源。
访问类型描述安全事件实际发生的情况。选项为 PERMITTING、REJECTING 或 AUDITING。
模式是配置文件授予适用的程序或进程的权限。选项有 r(读取)、w(写)、l(链接)和 x(执行)。
允许您导出 CSV(逗号分隔的值)或 HTML 文件。CSV 文件使用标准数据格式以逗号分隔日志条目中的数据,以导入到面向表格的应用程序。您可以为您导出的报告输入路径名,方法是在提供的字段中输入完整路径名。
允许您更改导出的报告的保存位置。默认位置为 /var/log/apparmor/reports-exported。更改此位置后,请选择。选择以浏览文件系统。
要查看报告,请根据需要进行过滤,然后选择。此时显示三种报告中的一种。
有关每种报告类型的详细信息,请参见以下章节。
有关应用程序审计报告,请参见第 4.3.1.1 节 “应用程序审计报告” (↑Novell AppArmor 2.0 管理指南)。
有关安全事件报告,请参见第 4.3.1.2 节 “安全事件报告” (↑Novell AppArmor 2.0 管理指南)。
有关执行摘要报告,请参见第 4.3.1.3 节 “安全执行摘要” (↑Novell AppArmor 2.0 管理指南)。
通过添加新报告,您可以创建根据预设过滤器显示 Novell AppArmor 安全事件的预定安全事件报告。在中设置报告后,它会定期报告系统上发生的 Novell AppArmor 安全事件。
您可以将报告配置为在指定时间段内每天、每周、每月或每小时运行。您可以将报告设置为显示特定严重性级别的拒绝,也可以通过程序名称、配置文件名称、严重性级别或拒绝资源进行过滤。此报告可以导出为 HTML(超文本标记语言)或 CSV(逗号分隔值)文件格式。
![[Note]](admon/note.png) | 注意 |
|---|---|
如果您需要导航到主报告屏幕的帮助,请返回到本节开头(请参见第 4.3 节 “报告” (↑Novell AppArmor 2.0 管理指南))。 | |
要添加新的预定安全事件报告,请执行以下操作:
单击创建新的安全事件报告。 的第一页打开。
 |
按需要用以下过滤信息填写字段:
指定报告的名称。使用易于同其它报告区分的名称。
选择月份内的任一天以激活报告中的按月过滤。如果选择全部,则不执行按月过滤。
按需要选择一周内的一天以预定每周报告。如果选择全部,则不执行按周过滤。如果选择了每月报告,则此字段默认为全部。
选择时间。此时间指定运行报告的小时和分钟。如果不更改时间,则所选报告在午夜运行。如果未选择月份或星期,则报告在指定时间每天运行。
您可以将预定安全事件报告通过电子邮件发送到最多 3 个收件人。请输入需要安全事件信息的人员的电子邮件地址。
此选项允许您导出 CSV(逗号分隔的值)或 HTML 文件。CSV 文件使用标准数据格式以逗号分隔日志条目中的数据,以导入到面向表格的应用程序。您可以为您导出的报告输入路径名,方法是在提供的字段中输入完整路径名。
允许您更改导出的报告的保存位置。默认位置为 /var/log/apparmor/reports-exported。更改此位置后,请选择。选择以浏览文件系统。
单击进入 的第二页。
 |
按需要用以下过滤信息填写字段:
您可以指定程序名称或输入与此程序的二进制可执行文件的名称相匹配的特征码。则报告只显示指定程序发生的安全事件。
您可以指定应显示其安全事件的配置文件的名称。您可以使用它来查看指定配置文件限制的内容。
PID 编号是用于标识指定进程或运行中的程序的唯一编号(此编号仅在进程的有效期内有效)。
配置文件拒绝其访问的来源。这包含功能和文件。您可以使用此字段创建一个配置文件防止访问的资源的报告。
选择要包含到报告中的安全事件的最低严重性级别。所选严重性级别及以上的安全事件都将被包含到报告中。
访问类型描述安全事件实际发生的情况。选项为 PERMITTING、REJECTING 或 AUDITING。
模式是配置文件授予适用的程序或进程的权限。选项有 r(读取)、w(写)、l(链接)和 x(执行)。
单击保存此报告。Novell AppArmor 返回到主窗口,此窗口的报告列表中显示新的预定报告。
通过 AppArmor 屏幕,您可以选择并编辑一个报告。您不能编辑或删除入库报告。
| 注意 |
|---|---|
如果您需要导航到主报告屏幕的帮助,请返回到本节开头(请参见第 4.3 节 “报告” (↑Novell AppArmor 2.0 管理指南))。 | |
执行以下步骤以从一个报告列表中运行一个报告:
在窗口的报告列表中,选择要编辑的报告。
单击以编辑该安全事件报告。 的第一页显示。
 |
按需要输入以下过滤信息:
选择月份内的任一天以激活报告中的按月过滤。如果选择全部,则不执行按月过滤。
选择一周内的一天以预定每周报告。如果选择全部,则不执行按周过滤。如果选择了每月报告,则此字段默认为全部。
选择时间。此时间指定运行报告的小时和分钟。如果不更改时间,则所选报告在午夜运行。如果未选择日期或星期,则报告在指定时间每天运行。
您可以将预定安全事件报告通过电子邮件发送到最多 3 个收件人。请输入需要安全事件信息的人员的电子邮件地址。
此选项允许您导出 CSV(逗号分隔的值)或 HTML 文件。CSV 文件使用标准数据格式以逗号分隔日志条目中的数据,以导入到面向表格的应用程序。您可以为导出的报告输入路径名,方法是在提供的字段中输入完整路径名。
允许您更改导出的报告的保存位置。默认位置为 /var/log/apparmor/reports-exported。更改此位置后,请选择。选择以浏览文件系统。
单击进入 的下一页。 的第二页打开。
 |
按需要用以下过滤信息填写字段:
您可以指定程序名称或输入与此程序的二进制可执行文件的名称相匹配的特征码。则报告只显示指定程序发生的安全事件。
您可以指定应显示其安全事件的配置文件的名称。您可以使用它来查看指定配置文件限制的内容。
PID 编号是用于标识指定进程或运行中的程序的唯一编号(此编号仅在进程的有效期内有效)。
配置文件拒绝其访问的来源。这包含功能和文件。您可以使用此字段创建一个配置文件防止访问的资源的报告。
选择要包含到报告中的安全事件的最低严重性级别。所选严重性级别及以上的安全事件都将被包含到报告中。
访问类型描述安全事件实际发生的情况。选项为 PERMITTING、REJECTING 或 AUDITING。
模式是配置文件授予适用的程序或进程的权限。选项有 r(读取)、w(写)、l(链接)和 x(执行)。
选择将更改保存到此报告。Novell AppArmor 返回到主窗口,此窗口的报告列表中显示预定报告。
| |  | |
| 4.2. 设置事件通知 |  | 4.4. 对安全事件作出反应 |