4.3. 报告

Novell AppArmor 的报告功能通过改进用户查看安全事件数据的方式增加了灵活性。报告工具执行以下操作:

通过使用报告,您可以阅读日志文件中报告的重要 Novell AppArmor 安全事件,而不必手动筛选只对 logprof 有用的繁杂消息。您可以按照日期范围或程序名称对报告进行过滤,以减小报告的大小。您还可以导出 htmlcsv 文件。

以下是 Novell AppArmor 中可用的三种报告类型:

安全执行摘要

由来自一台或多台计算机的一个或多个安全事件组成的组合报告。此报告可以提供对多台计算机上的安全事件的单一视图。有关详细信息,请参见第 4.3.1.3 节 “安全执行摘要” (↑Novell AppArmor 2.0 管理指南)

应用程序审计报告

一个审计工具,报告哪些应用程序服务器正在运行以及这些应用程序是否被 AppArmor 限制。应用程序服务器是接受外来网络连接的应用程序。有关详细信息,请参见第 4.3.1.1 节 “应用程序审计报告” (↑Novell AppArmor 2.0 管理指南)

安全事件报告

显示单个主机的应用程序安全的报告。它会在特定时间段内报告本地限制的应用程序的策略冲突。您可以编辑并自定义此报告或者添加新的版本。有关详细信息,请参见第 4.3.1.2 节 “安全事件报告” (↑Novell AppArmor 2.0 管理指南)

要使用 Novell AppArmor 报告功能,请执行以下步骤:

  1. 要运行报告,请打开 YaST+Novell AppArmor。Novell AppArmor 界面打开。

    AppArmor 界面
  2. Novell AppArmor 中,单击 AppArmor 报告。此时出现 AppArmor 安全事件报告窗口。在报告窗口中,选择一个选项并查看相关部分中的说明:

    报告窗口
    查看档案

    显示已运行并保存在 /var/log/apparmor/reports-archived/ 中的所有报告。选择要查看详细信息的报告,然后单击查看。有关查看档案的说明,请进入第 4.3.1 节 “查看存档报告” (↑Novell AppArmor 2.0 管理指南)

    立即运行

    生成选定报告类型的即时版报告。如果选择一个安全事件报告,则可以通过多种方式进行过滤。有关立即运行的说明,请进入第 4.3.2 节 “立即运行:运行按需报告” (↑Novell AppArmor 2.0 管理指南)

    添加

    创建预定的安全事件报告。有关添加的说明,请进入第 4.3.3 节 “添加新报告” (↑Novell AppArmor 2.0 管理指南)

    编辑

    编辑预定的安全事件报告。

    删除

    删除预定的安全事件报告。所有已入库或打包的报告都不能删除。

    返回

    返回到 Novell AppArmor 主屏幕。

    中止

    返回到 Novell AppArmor 主屏幕。

    下一步

    执行与立即运行按钮相同的功能。

4.3.1. 查看存档报告

查看报告允许您指定来自一个或多个系统的报告的位置,包括按日期或被访问程序的名称进行过滤以及在一个报告中显示它们的能力。

  1. AppArmor 安全事件报告窗口中选择查看档案

    安全事件报告
  2. 选择要查看的报告类型。在不同的类型间切换(SIR(安全事件报告)、App Aud(应用程序审计)和 ESS (安全执行摘要))。

  3. 您可以在存档报告的位置中改变存档报告的目录位置。选择接受以使用当前目录,或选择浏览以找一个新的报告位置。默认目录为 /var/log/apparmor/reports-archived/

  4. 要查看档案中的所有报告,请选择查看全部。要查看指定报告,请选择报告字段中列出的报告文件,然后选择查看

  5. 有关应用程序审计安全执行摘要报告,请进入步骤 9 (↑Novell AppArmor 2.0 管理指南)

  6. 安全事件报告的报告配置对话框打开。

    报告配置
  7. 报告配置对话框允许您对在前一屏幕选择的报告进行过滤。输入所需的过滤细节。字段有:

    日期范围

    要显示特定时间段内的报告,请选择通过日期范围过滤。输入定义报告范围的开始和结束日期。

    程序名称

    如果输入程序名称或输入与此程序的二进制可执行文件的名称相匹配的特征码,则报告会显示指定程序发生的安全事件。

    配置文件名称

    如果输入配置文件的名称,报告会显示为指定配置文件生成的安全事件。您可以使用它来查看指定配置文件限制的内容。

    PID 编号

    PID 编号是用于标识指定进程或运行中的程序的唯一编号(此编号仅在进程的有效期内有效)。

    严重性级别

    选择要包含到报告中的安全事件的最低严重性级别。所选严重性级别及以上的安全事件都将被包含到报告中。

    详细信息

    配置文件拒绝其访问的来源。这包含功能和文件。您可以使用此字段报告配置文件防止访问的资源。

    访问类型

    访问类型描述安全事件实际发生的情况。选项有:PERMITTINGREJECTINGAUDITING

    模式

    模式是配置文件授予适用的程序或进程的权限。选项有:r(读)w(写)l(链接)x(执行)。

    导出类型

    允许您导出 CSV(逗号分隔的值)或 HTML 文件。CSV 文件使用标准数据格式以逗号分隔日志条目中的数据,以导入到面向表格的应用程序。您可以为导出的报告输入路径名,方法是在提供的字段中输入完整路径名。

    保存日志的位置

    允许您更改导出的报告的保存位置。默认位置为 /var/log/apparmor/reports-exported。更改此位置后,请选择接受。选择浏览以浏览文件系统。

  8. 要查看报告,请根据需要进行过滤,然后选择下一步。此时显示三种报告中的一种。

  9. 有关每种报告类型的详细信息,请参见以下章节。

4.3.1.1. 应用程序审计报告

一个审计工具,报告哪些应用程序正在运行以及它们是否被 AppArmor 限制。应用程序服务器是接受外来网络连接的应用程序。此报告提供主机的 IP 地址、运行应用程序审计报告的日期、未限制程序或应用程序服务器的名称和路径、未限制程序的建议配置文件或占位符、进程 ID 编号、程序的状态(限制或未限制)以及配置文件执行的限制类型(强制或提示)。

以下屏幕显示了一个应用程序审计报告:

应用程序审计报告

以下是应用程序报告中各字段的定义:

主机

受 AppArmor 保护并报告其安全事件的计算机。

日期

发生安全事件的日期。

程序

执行进程的名称。

配置文件

适用于该进程的安全配置文件的绝对名称。

PID

PID 编号是用于标识指定进程或运行中的程序的唯一编号(此编号仅在进程的有效期内有效)。

状态

此字段表明程序字段中所列程序是否被限制。如果未被限制,您可能要考虑为其创建一个配置文件。

类型

此字段表明安全事件代表的限制类型。可以是提示或强制。如果应用程序未被限制(状态),则不报告限制类型。

4.3.1.2. 安全事件报告

向管理员显示其需要的安全事件的报告。SIR 报告会在特定时间段内报告本地限制的应用程序的策略冲突。SIR 报告策略异常和策略引擎状态发生的变化。这两种类型的安全事件定义如下:

策略异常

当应用程序请求一个没有在其配置文件中定义的资源时会触发一个安全事件。此时会生成一个报告,该报告向管理员显示其需要的安全事件。SIR 报告会在特定时间段内报告本地限制的应用程序的策略冲突。SIR 报告策略异常和策略引擎状态发生的变化。

策略引擎状态变化

强制实施应用程序的策略并维护其自身状态,包括启动或停止引擎的时间、重新装载策略的时间以及启用或禁用全局安全功能的时间。

以下屏幕显示了一个 SIR 报告:

安全事件报告

以下是 SIR 报告中各字段的定义:

主机

受 AppArmor 保护并报告其安全事件的计算机。

日期

发生安全事件的日期。

程序

执行进程的名称。

配置文件

适用于该进程的安全配置文件的绝对名称。

PID

PID 编号是用于标识指定进程或运行中的程序的唯一编号(此编号仅在进程的有效期内有效)。

严重性

事件的严重性级别通过严重性数据库报告。严重性数据库定义潜在安全事件的重要性,编号为 1 到 10,10 为最严重的安全事件。严重性级别由不同安全事件的威胁或重要性决定,例如访问的特定资源或拒绝的服务。

模式

模式是配置文件授予适用的程序或进程的权限。选项有 r(读取)、w(写)、l(链接)和 x(执行)。

详细信息

配置文件拒绝其访问的来源。包括功能和文件。您可以使用此字段报告配置文件防止访问的资源。

访问类型

访问类型描述安全事件实际发生的情况。选项为 PERMITTINGREJECTINGAUDITING

4.3.1.3. 安全执行摘要

由来自一台或多台计算机的一个或多个高级别报告组成的组合报告。如果计算机的数据被复制到报告档案目录 /var/log/apparmor/reports-archived,此报告可以提供多台计算机上的安全事件的单一视图。此报告提供主机的 IP 地址、轮询事件的开始和结束日期、拒绝总数、事件总数、报告的平均严重性级别以及报告的最高严重性级别。一行 ESS 报告代表一系列 SIR 报告。

以下屏幕显示了一个安全执行摘要:

安全执行摘要

以下是安全执行摘要中各字段的定义:

主机

受 AppArmor 保护并报告其安全事件的计算机。

开始日期

报告安全事件的日期范围的开始日期。

结束日期

报告安全事件的日期范围的结束日期。

拒绝数目

在给定的日期范围内,被拒绝访问的安全事件总数。

事件数目

给定日期范围内的安全事件总数。

平均严重性

给定日期范围内报告的严重性级别的平均数。此数据不考虑未知的严重性。

高严重性

给定日期范围内报告的最严重事件的严重性。

4.3.2. 立即运行:运行按需报告

立即运行报告功能允许您即时提取 Novell AppArmor 事件日志中的报告信息,而不用等待预定的事件。如果您需要导航到主报告屏幕的帮助,请返回到本节开头(请参见第 4.3 节 “报告” (↑Novell AppArmor 2.0 管理指南))。执行以下步骤以从一个报告列表中运行一个报告:

  1. 预定报告窗口中,从一个报告列表中选择一个报告以立即运行。

  2. 选择立即运行下一步。下一屏幕取决于您在上一步中选择的报告。有关应用程序审计安全执行摘要报告,请进入步骤 6 (↑Novell AppArmor 2.0 管理指南)

  3. 安全事件报告的报告配置对话框显示。

    报告配置
  4. 报告配置对话框允许您对在前一屏幕选择的报告进行过滤。输入所需的过滤细节。有以下过滤选项可用:

    日期范围

    要显示特定时间段内的报告,请选择通过日期范围过滤。输入确定报告范围的开始和结束日期。

    程序名称

    如果输入程序名称或输入与此程序的二进制可执行文件的名称相匹配的特征码,则报告只显示指定程序发生的安全事件。

    配置文件名称

    如果输入配置文件的名称,报告会显示为指定配置文件生成的安全事件。您可以使用它来查看指定配置文件限制的内容。

    PID 编号

    PID 编号是用于标识指定进程或运行中的程序的唯一编号(此编号仅在进程的有效期内有效)。

    严重性级别

    选择要包含到报告中的安全事件的最低严重性级别。所选严重性级别及以上的安全事件都将被包含到报告中。

    详细信息

    配置文件拒绝其访问的来源。这包含功能和文件。您可以使用此字段报告配置文件防止访问的资源。

    访问类型

    访问类型描述安全事件实际发生的情况。选项为 PERMITTINGREJECTINGAUDITING

    模式

    模式是配置文件授予适用的程序或进程的权限。选项有 r(读取)、w(写)、l(链接)和 x(执行)。

    导出类型

    允许您导出 CSV(逗号分隔的值)或 HTML 文件。CSV 文件使用标准数据格式以逗号分隔日志条目中的数据,以导入到面向表格的应用程序。您可以为您导出的报告输入路径名,方法是在提供的字段中输入完整路径名。

    保存日志的位置

    允许您更改导出的报告的保存位置。默认位置为 /var/log/apparmor/reports-exported。更改此位置后,请选择接受。选择浏览以浏览文件系统。

  5. 要查看报告,请根据需要进行过滤,然后选择下一步。此时显示三种报告中的一种。

  6. 有关每种报告类型的详细信息,请参见以下章节。

4.3.3. 添加新报告

通过添加新报告,您可以创建根据预设过滤器显示 Novell AppArmor 安全事件的预定安全事件报告。在预定报告中设置报告后,它会定期报告系统上发生的 Novell AppArmor 安全事件。

您可以将报告配置为在指定时间段内每天、每周、每月或每小时运行。您可以将报告设置为显示特定严重性级别的拒绝,也可以通过程序名称、配置文件名称、严重性级别或拒绝资源进行过滤。此报告可以导出为 HTML(超文本标记语言)或 CSV(逗号分隔值)文件格式。

[Note]注意

如果您需要导航到主报告屏幕的帮助,请返回到本节开头(请参见第 4.3 节 “报告” (↑Novell AppArmor 2.0 管理指南))。

要添加新的预定安全事件报告,请执行以下操作:

  1. 单击添加创建新的安全事件报告。添加预定 SIR 的第一页打开。

    添加预定 SIR
  2. 按需要用以下过滤信息填写字段:

    报告名称

    指定报告的名称。使用易于同其它报告区分的名称。

    日期

    选择月份内的任一天以激活报告中的按月过滤。如果选择全部,则不执行按月过滤。

    星期

    按需要选择一周内的一天以预定每周报告。如果选择全部,则不执行按周过滤。如果选择了每月报告,则此字段默认为全部

    小时和分钟

    选择时间。此时间指定运行报告的小时和分钟。如果不更改时间,则所选报告在午夜运行。如果未选择月份或星期,则报告在指定时间每天运行。

    电子邮件目标

    您可以将预定安全事件报告通过电子邮件发送到最多 3 个收件人。请输入需要安全事件信息的人员的电子邮件地址。

    导出类型

    此选项允许您导出 CSV(逗号分隔的值)或 HTML 文件。CSV 文件使用标准数据格式以逗号分隔日志条目中的数据,以导入到面向表格的应用程序。您可以为您导出的报告输入路径名,方法是在提供的字段中输入完整路径名。

    保存日志的位置

    允许您更改导出的报告的保存位置。默认位置为 /var/log/apparmor/reports-exported。更改此位置后,请选择接受。选择浏览以浏览文件系统。

  3. 单击下一步进入添加预定 SIR 的第二页。

    添加预定 SIR,第 2 页
  4. 按需要用以下过滤信息填写字段:

    程序名称

    您可以指定程序名称或输入与此程序的二进制可执行文件的名称相匹配的特征码。则报告只显示指定程序发生的安全事件。

    配置文件名称

    您可以指定应显示其安全事件的配置文件的名称。您可以使用它来查看指定配置文件限制的内容。

    PID 编号

    PID 编号是用于标识指定进程或运行中的程序的唯一编号(此编号仅在进程的有效期内有效)。

    详细信息

    配置文件拒绝其访问的来源。这包含功能和文件。您可以使用此字段创建一个配置文件防止访问的资源的报告。

    严重性

    选择要包含到报告中的安全事件的最低严重性级别。所选严重性级别及以上的安全事件都将被包含到报告中。

    访问类型

    访问类型描述安全事件实际发生的情况。选项为 PERMITTINGREJECTINGAUDITING

    模式

    模式是配置文件授予适用的程序或进程的权限。选项有 r(读取)、w(写)、l(链接)和 x(执行)。

  5. 单击保存保存此报告。Novell AppArmor 返回到预定报告主窗口,此窗口的报告列表中显示新的预定报告。

4.3.4. 编辑报告

通过 AppArmor 报告屏幕,您可以选择并编辑一个报告。您不能编辑或删除入库报告。

[Note]注意

如果您需要导航到主报告屏幕的帮助,请返回到本节开头(请参见第 4.3 节 “报告” (↑Novell AppArmor 2.0 管理指南))。

执行以下步骤以从一个报告列表中运行一个报告:

  1. 预定报告窗口的报告列表中,选择要编辑的报告。

  2. 单击编辑以编辑该安全事件报告。编辑预定 SIR 的第一页显示。

    编辑预定 SIR
  3. 按需要输入以下过滤信息:

    日期

    选择月份内的任一天以激活报告中的按月过滤。如果选择全部,则不执行按月过滤。

    星期

    选择一周内的一天以预定每周报告。如果选择全部,则不执行按周过滤。如果选择了每月报告,则此字段默认为全部

    小时和分钟

    选择时间。此时间指定运行报告的小时和分钟。如果不更改时间,则所选报告在午夜运行。如果未选择日期或星期,则报告在指定时间每天运行。

    电子邮件目标

    您可以将预定安全事件报告通过电子邮件发送到最多 3 个收件人。请输入需要安全事件信息的人员的电子邮件地址。

    导出类型

    此选项允许您导出 CSV(逗号分隔的值)或 HTML 文件。CSV 文件使用标准数据格式以逗号分隔日志条目中的数据,以导入到面向表格的应用程序。您可以为导出的报告输入路径名,方法是在提供的字段中输入完整路径名。

    保存日志的位置

    允许您更改导出的报告的保存位置。默认位置为 /var/log/apparmor/reports-exported。更改此位置后,请选择接受。选择浏览以浏览文件系统。

  4. 单击下一步进入编辑预定 SIR 的下一页。编辑预定 SIR 的第二页打开。

    编辑预定报告,第二页
  5. 按需要用以下过滤信息填写字段:

    程序名称

    您可以指定程序名称或输入与此程序的二进制可执行文件的名称相匹配的特征码。则报告只显示指定程序发生的安全事件。

    配置文件名称

    您可以指定应显示其安全事件的配置文件的名称。您可以使用它来查看指定配置文件限制的内容。

    PID 编号

    PID 编号是用于标识指定进程或运行中的程序的唯一编号(此编号仅在进程的有效期内有效)。

    详细信息

    配置文件拒绝其访问的来源。这包含功能和文件。您可以使用此字段创建一个配置文件防止访问的资源的报告。

    严重性

    选择要包含到报告中的安全事件的最低严重性级别。所选严重性级别及以上的安全事件都将被包含到报告中。

    访问类型

    访问类型描述安全事件实际发生的情况。选项为 PERMITTINGREJECTINGAUDITING

    模式

    模式是配置文件授予适用的程序或进程的权限。选项有 r(读取)、w(写)、l(链接)和 x(执行)。

  6. 选择保存将更改保存到此报告。Novell AppArmor 返回到预定报告主窗口,此窗口的报告列表中显示预定报告。

4.3.5. 删除报告

删除报告允许您从 Novell AppArmor 预定报告列表中永久删除某报告。要删除报告,请按照以下指示操作:

  1. 要从报告列表中删除报告,请突出显示该报告并单击删除

  2. 如果不准备删除所选报告,请在在确认弹出窗口中选择取消。如果确定要从报告列表中永久删除此报告,请选择删除