Профили аудита определяют, какие политики и в каких случаях добавляют записи в журнал аудита.
Модуль безопасности передает записи журнала аудита через ядро KasperskyOS в сущность klog, которая декодирует и обрабатывает их. Подробнее см. пример klog в составе KasperskyOS Community Edition.
Объявление профилей аудита
Профили аудита объявляются с помощью декларации audit profile:
audit profile <имя профиля> =
{ <рантайм-уровень>:
{ <имя объекта>:
{ kss: [ "granted", "denied" ]
, <конфигурация объекта ...>
}
}
}
ksm.module).kss в конфигурации объекта – это соглашение о том, какие сообщения попадут в журнал аудита в соответствии с принятым политикой решением. Список может быть пустым (никакие сообщения не будут добавлены в журнал) или комбинацией литералов "granted" и "denied".Пример объявления профиля аудита:
audit profile trace =
{ 0:
{ base:
{ kss: ["deny"]
}
}
, 1:
{ session:
{ kss: ["granted", "denied"]
, omit: ["closed"]
}
}
}
Назначение профилей аудита
Например:
audit default = global 0 // Задание профиля аудита по умолчанию
/* Конфигурирование запросов от сущности "Client" к сущности "Server". */
request src=Client, dst=Server {
audit parent // На вызовы политик в этой секции назначен профиль аудита parent.
/* Конфигурирование запросов от сущности "Client" к конкретным методам сущности "Server". */
match endpoint=pingComp.pingImpl, method=Ping {
audit child
grant () // На этот вызов назначен профиль аудита child.
}
match endpoint=pingComp.pingImpl, method=Pong {
grant () // Так как на этот вызов не назначен профиль аудита, будет использован родительский (parent).
}
}
response src=Client, dst=Server {
grant () // Так как на этот вызов не назначен профиль аудита, будет использован глобальный (global).
}
В начало