рую вы намерены соблюсти.
Важно понять определение сессии контроля по отношению к
подсистеме. Предполагается, что сессия соответствует интервалу
времени с момента загрузки системы до момента ее выключения. Для
сокращения объема записываемых в контрольный журнал данных в ка-
честве одной из задач при проектировании подсистемы была уста-
новлена минимизация размера каждой контрольной записи. Следова-
тельно, состояние процесса определяется последовательностью
контрольных записей, а не указывается целиком в каждой записи.
.
- 5-26 -
При таком подходе экономия места и времени оказывается значи-
тельной, но это требует аккуратного административного управления
во избежание ловушек.
Если отключить подсистему контроля во время работы системы,
а затем вновь включить, будет создана новая сессия. Сессия опре-
деляется как последовательность файлов сбора данных и уплотнен-
ных файлов, содержащих контрольные записи, связанные с конкрет-
ным интервалом времени. Это может привести к созданию двух (а
возможно, и больше) наборов файлов контроля в одном жизненном
цикле системы. Некоторые процессы, контролируемые во второй или
последующей сессии, могут оказаться созданными во время первой
сессии. Следовательно, сессия может не содержать все соответс-
твующее состояние процесса, нужное для какого-либо процесса. В
свою очередь, это может вызвать неполную редукцию записей. Это
относится главным образом к именам файлов, причем как правило -
только к относительным именам файлов (а не абсолютным). Этого
можно избежать, если выключать контроль только после останова
системы.
Процедуры контроля
В данном разделе описывается, как устанавливать, иницииро-
вать, модифицировать и прекращать контроль системы. Доступ к
каждой из этих функций осуществляется через sysadmsh. Выход на
верхний уровень функций контроля производится выбором
System->Audit; это следующие функции:
Enable/Disable Инициирование и прекращение контроля
Collection Выбор критерия контроля
Формирование конфигурации подсистемы и управ-
ление контролируемыми событиями и пользовате-
лями. Кроме того, можно управлять параметрами
установки, влияющими на производительность и
надежность подсистемы и ее данные
Report Редукция данных контроля и составление отчетов
Создание и сохранение выборочных файлов ре-
дукции, редукция сессий контроля с помощью
файлов сбора данных и удаление сокращенных
файлов после того, как они становятся ненуж-
ными
Files Сопровождение файла контрольных записей
Проверка сессий контроля, накопленных в сис-
теме, архивирование сессий контроля на ре-
зервном носителе, восстановление ранее сохра-
ненных сессий контроля, удаление ненужных
сессий контроля, пуск и останов контроля по
мере надобности
.
- 5-27 -
Процедура контроля состоит из трех этапов, описанных в пос-
ледующих разделах:
1. Установка схемы сбора данных
2. Включение контроля
3. Генерация контрольных отчетов
Установка схемы сбора данных
Чтобы задать, какие данные следует собирать и где их следу-
ет хранить, сделайте в sysadmsh следующий выбор:
System->Audit->Collection
На экране появятся следующие элементы для выбора:
Directories Каталоги файлов сбора данных контроля и уп-
лотненных файлов
Events Системная маска типов событий
IDs Выбор контроля пользователя и группы
Parameters Параметры подсистемы контроля
Summary Распечатка статистики текущей сессии контроля
Выберите, какую информацию вы хотите поставлять; каждый вы-
бор описан в одном из последующих разделов. Информация о сборе
данных, заданная вами, записывается в файл параметров. Система
поставляется с файлом параметров, заданным по умолчанию, но вы
должны модифицировать его, чтобы он удовлетворял вашим требова-
ниям. Инициированная подсистема контролирует события в соответс-
твии с содержимым файла параметров до тех пор, пока параметры не
будут модифицированы, или до прекращения контроля, или до оста-
нова системы. Заметим, что некоторые параметры можно модифициро-
вать в ходе контроля, а другие действительны только в момент
инициирования контроля. По мере описания очередной области кон-
фигурации отмечаются статические и динамические величины.
Каталоги контроля
Файлы сбора данных, генерируемые подсистемой контроля, и
уплотненные файлы, генерируемые демоном контроля, записываются в
заданные вами каталоги. Сессия контроля может содержать файлы,
записанные во множество различных каталогов. К концу сессии ос-
таются только уплотненные файлы, так как файлы сбора данных уда-
ляются подсистемой, когда они прочитаны демоном контроля. Вам не
нужно отслеживать каталоги, в которые записываются файлы, пос-
кольку эта информация имеется в журнальном файле сессии.
Вы можете увеличить производительность системы, поместив
каталоги контроля в файловую систему, расположенную на отдельном
физическом устройстве от остальных файловых систем. Это уменьшит
соперничество за ресурсы диска. Кроме того, контроль требует
значительного пространства, даже с учетом уплотнения. Когда мес-
.
- 5-28 -
та на диске становится мало, подсистема выдает предупреждение;
если свободного пространства в файловой системе становится слиш-
ком мало, то подсистема выключает контроль. По этой причине под-
система и демон поддерживают несколько каталогов. При возникно-
вении ошибки во время записи в каталог или при исчерпании места
на диске подсистема и демон пытаются воспользоваться альтерна-
тивными каталогами, чтобы продолжить работу.
Каждое имя файла следует вводить с указанием абсолютного
имени пути. Число каталогов, которые вы можете определить, ничем
не ограничено. Если никакие каталоги не заданы, подсистема и де-
мон создают все файлы в корневой файловой системе, используя за-
резервированный каталог подсистемы контроля /tcb/audittmp. Такая
установка файлов конфигурации контроля делается по умолчанию.
Маска событий контроля
Как уже говорилось в разделе "Типы событий контроля", име-
ется некоторое число событий контроля, которые можно выбрать:
Таблица 5.5
События контроля
---------------------------------------------------------------------------
A. Startup/Shutdown B. Login/Logoff
C. Process Create/Delete D. Make Object Available
E. Map Object to Subject F. Object Modification
G. Make Object Unavailable H. Object Creation
I. Object Deletion J. DAC Changes
K. DAC Denials L. Admin/Operator Actions
M. Insufficient Privilege N. Resource Denials
O. IPC Functions P. Process Modifications
Q. Audit Subsystem Events R. Database Events
S. Subsystem Events T. Use of Privilege
---------------------------------------------------------------------------
A. Запуск/Останов B. Вход/Выход из системы
C. Создать/Удалить процесс D. Сделать объект доступным
E. Отобразить объект в субъект F. Модификация объекта
G. Сделать объект недоступным H. Создание объекта
I. Удаление объекта J. Изменения DAC
K. Отказы DAC L. Действия оператора/Админ.
M. Недостаточные привилегии N. Отказы ресурса
O. Функции IPC P. Модификации процесса
Q. События подсистемы контроля R. События базы данных
S. События подсистемы T. Использование привилегий
---------------------------------------------------------------------------
Каждый тип события выводится на экран и соответствует бук-
ве, находящейся в верхней части экрана. Для событий, подлежащих
контролю, тип события следует задать вместе с символом "Y". Типы
событий, не подлежащие контролю, исключаются опцией "N". Для пе-
реключения ввода с "Y" на "N" и обратно пользуйтесь клавишей
пробела. Для перехода от одного элемента к другому используйте
клавиши перемещения курсора. Данную маску событий можно модифи-
цировать и динамически изменять для текущей сессии контроля
и/или записывать в файл параметров для использования в последую-
щих сессиях контроля.
.
- 5-29 -
Выбор пользователя и группы
Поля User и Group можно использовать для динамического из-
менения выбора контроля в текущей сессии или для следующих сес-
сий. Выбор пользователей и групп можно производить многократно в
течение одной сессии. Если никакие пользователи и группы не выб-
раны, в результате все пользователи и группы будут исключены из
данного выбора. Это означает, что все процессы в системе подле-
жат контролю.
Параметры подсистемы контроля
Вы можете изменить некоторые параметры контроля, чтобы
настроить контроль в соответствии с требованиями системы. Неко-
торые из этих параметров связаны с проблемами компромисса между
производительностью и надежностью, обсуждавшимися выше. Теперь
это станет яснее. Имеются следующие параметры:
Write to disk... (Запись на диск)
Эти два параметра определяют частоту, с которой данные
контроля синхронно сбрасываются в файл сбора данных контро-
ля из внутренних буферов контроля. Сброс можно контролиро-
вать либо количеством данных, накопленных перед записью,
либо истечением заданного интервала времени. Последняя воз-
можность особенно полезна, когда генерируются небольшие
объемы данных и частота генерации записей размазана по вре-
мени. Можно задать сброс и по счетчику байтов, и по истече-
нию времени. Интервал времени всегда задается в секундах.
Плохой выбор этих величин может неблагоприятно повлиять
на производительность. Слишком частые операции записи за-
медляют работу системы при чрезмерном трафике ввода-вывода.
С другой стороны, когда эти значения слишком велики, растет
вероятность потери данных в случае фатального сбоя системы.
Рекомендуется при каждом заполнении одного внутреннего бу-
фера делать сброс. Таким образом, обычно достаточно задать
счетчик сброса равным 1024 (размер внутреннего буфера).
Wake up daemon... (Активизировать демон)
Данный параметр управляет демоном контроля. Этот демон пос-
тоянно читает с устройства контроля и получает записи, по-
мещенные в файлы сбора данных. Затем эти записи уплотняются
и записываются в уплотненные файлы, которые впоследствии
подвергаются редукции. Для получения максимальной эффектив-
ности алгоритма уплотнения демону следует читать блоки дан-
ных размером от 4К до 5К байт. Для этого нужна специальная
обработка в подсистеме, так как обычно операция чтения
возвращает управление, когда доступны какие-либо данные, а
не ждет, когда накопится определенный объем данных. Для
максимальной эффективности этот параметр должен лежать в
диапазоне от 4096 до 5120 байт. По умолчанию принимается
величина 4096 байт.
.
- 5-30 -
Collection buffers (Буферы сбора данных)
Этот параметр позволяет задать число буферов сбора данных,
