Product SiteDocumentation Site

5.2. Используемые Log-файлы

В Fedora 13, пакеты dbus, setroubleshoot-server и audit устанавливаются по умолчанию, если они не были исключены из списка инсталляции при установке.
Сообщения о запретах доступа SELinux, приведенные ниже, записываются в /var/log/audit/audit.log по умолчанию:
type=AVC msg=audit(1223024155.684:49): avc:  denied  { getattr } for  pid=2000 comm="httpd" path="/var/www/html/file1" dev=dm-0 ino=399185 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:samba_share_t:s0 tclass=file
Также, если setroubleshootd запущен, а он запускается по умолчанию, то сообщения об отказах в доступе из /var/log/audit/audit.log переводятся в свободно-читаемую доступную форму и направляются в /var/log/messages:
May  7 18:55:56 localhost setroubleshoot: SELinux is preventing httpd (httpd_t) "getattr" to /var/www/html/file1 (samba_share_t). For complete SELinux messages. run sealert -l de7e30d6-5488-466d-a606-92c9f40d316d
В Fedora 13, setroubleshootd больше не запущен в постоянном режиме в качестве службы, однако он до сих пор исользуется для анализа AVC сообщений. Две новых программ используются как метод запуска setroubleshoot при необходимости: sedispatch и seapplet. sedispatch работает как часть подсистемы аудита и через dbus, посылает сообщение, когда отказ AVC обнаружен, который передаётся напрямую в setroubleshootd, если последний запущен или запускает setroubleshootd если он не запущен. seapplet - это инструмент. который работает в системной панели, ждёт сообщений от dbus к setroubleshootd, и вызывает иконку оповещение, позволяющую пользователю просмотреть сообщение с отказом.
Сообщения о запретах отправляются в различные расположения файлов, в зависимости от того, какие демоны запущены:
ДемонРасположение журналов
auditd on/var/log/audit/audit.log
auditd off; rsyslogd on/var/log/messages
rsyslogd and auditd on/var/log/audit/audit.log. Сообщения о запретах в свободно-читаемой и доступной форме направляются в /var/log/messages
Автоматический запуск демонов
Для конфигурирования автоматического запуска демонов auditd, rsyslogd, и setroubleshootd при загрузке системы, необходимо выполнить следующие команды от пользователя root:
/sbin/chkconfig --levels 2345 auditd on
/sbin/chkconfig --levels 2345 rsyslog on
Используйте команду service service-name status для проверки запущены ли данные службы, например:
$ /sbin/service auditd status
auditd (pid  1318) is running...
Если службы не запущены (service-name is stopped), используйте команду service service-name start от имени пользователя root для того, чтобы запустить их. Например:
# /sbin/service auditd start
Starting auditd:                                  [  OK  ]