Получение данных аудита безопасности (vlog

Получение данных аудита безопасности (vlog_api.h)

API определен в заголовочном файле sysroot-*-kos/include/coresrv/vlog/vlog_api.h из состава KasperskyOS SDK.

API позволяет выполнять чтение из журнала ядра KasperskyOS с данными аудита безопасности и используется в коде статической библиотеки sysroot-*-kos/lib/libklog_system_audit.a, компонуемой с системной программой Klog.

Сведения о функциях API приведены в таблице ниже.

Использование API

Сценарий использования API включает следующие шаги:

Открытие журнала ядра с данными аудита безопасности вызовом функции KnAuOpen().
Получение сообщений из журнала ядра с данными аудита безопасности вызовами функции KnAuRead().
Журнал представляет собой циклический буфер, поэтому нужно не допускать перезаписи в нем, поскольку это приведет к потере еще не считанных данных аудита безопасности. Для контроля перезаписи в журнале через параметр outDropMsgs функции KnAuRead() передается число потерянных сообщений. (Счетчик этих сообщений обнуляется после считывания его значения при каждом вызове функции.) При наличии потерянных сообщений нужно либо увеличить скорость считывания сообщений из журнала, например, выполняя считывание из параллельных потоков исполнения, либо снизить скорость генерации сообщений, изменив профиль аудита безопасности.
Закрытие журнала ядра с данными аудита безопасности вызовом функции KnAuClose().

Сведения о функциях API

Функции vlog_api.h

Функция	Сведения о функции
`KnAuOpen()`	Назначение Открывает журнал ядра с данными аудита безопасности. Параметры [in] `name` – указатель на имя журнала ядра с данными аудита безопасности (нужно указать `kss`). [out] `outRID` – указатель на дескриптор журнала ядра с данными аудита безопасности. Возвращаемые значения В случае успеха возвращает `rcOk`, иначе возвращает код ошибки.
`KnAuClose()`	Назначение Закрывает журнал ядра с данными аудита безопасности. Параметры [in] `rid` – дескриптор журнала ядра с данными аудита безопасности. Возвращаемые значения В случае успеха возвращает `rcOk`, иначе возвращает код ошибки.
`KnAuRead()`	Назначение Позволяет получить сообщение из журнала ядра с данными аудита безопасности. Параметры [in] `rid` – дескриптор журнала ядра с данными аудита безопасности. [out] `msg` – указатель на буфер для сохранения сообщения. Тип сообщения определен в заголовочном файле `sysroot-*-kos/include/vlog/audit.h`. Размер буфера должен быть не меньше `FULL_AUDIT_MESSAGE_LENGTH_MAX` байт. [out] `outDropMsgs` – указатель на число сообщений, которые были потеряны из-за перезаписи в журнале ядра с данными аудита безопасности. Возвращаемые значения В случае успеха возвращает `rcOk`, иначе возвращает код ошибки.

Функция

Сведения о функции

KnAuOpen()

Назначение

Открывает журнал ядра с данными аудита безопасности.

Параметры

[in] name – указатель на имя журнала ядра с данными аудита безопасности (нужно указать kss).
[out] outRID – указатель на дескриптор журнала ядра с данными аудита безопасности.

Возвращаемые значения

В случае успеха возвращает rcOk, иначе возвращает код ошибки.

KnAuClose()

Назначение

Закрывает журнал ядра с данными аудита безопасности.

Параметры

[in] rid – дескриптор журнала ядра с данными аудита безопасности.

Возвращаемые значения

В случае успеха возвращает rcOk, иначе возвращает код ошибки.

KnAuRead()

Назначение

Позволяет получить сообщение из журнала ядра с данными аудита безопасности.

Параметры

[in] rid – дескриптор журнала ядра с данными аудита безопасности.
[out] msg – указатель на буфер для сохранения сообщения. Тип сообщения определен в заголовочном файле sysroot-*-kos/include/vlog/audit.h. Размер буфера должен быть не меньше FULL_AUDIT_MESSAGE_LENGTH_MAX байт.
[out] outDropMsgs – указатель на число сообщений, которые были потеряны из-за перезаписи в журнале ядра с данными аудита безопасности.

Возвращаемые значения

В случае успеха возвращает rcOk, иначе возвращает код ошибки.

В начало