4.3. 報告

Novell AppArmor 的報告功能已增強了使用者檢視安全性事件資料的方法,因此更具有彈性。報告工具會執行以下動作:

透過這些報告,您可以閱讀記錄檔案中所報告的重要 Novell AppArmor 安全性事件,而不需要手動切換只適用於 logprof 工具的繁瑣訊息。您可以依照日期範圍或程式名稱進行篩選,以縮減報告的大小。您也可以匯出 htmlcsv 檔案。

以下為 Novell AppArmor 提供的三種報告類型:

執行安全性摘要

這是一種組合報告,其中包含了來自一個或多個機器的一個或多個安全性事件報告。此報告可提供多部機器的安全性事件單一檢視。如需詳細資訊,請參閱 節 4.3.1.3, "執行安全性摘要" (↑Novell AppArmor 2.0 管理指南)

應用程式稽核報告

這是一種稽核工具,可報告正在執行的應用程式伺服器,以及應用程式是否受到 AppArmor 限制。應用程式伺服器是接收連入網路連線的應用程式。如需詳細資訊,請參閱 節 4.3.1.1, "應用程式稽核報告" (↑Novell AppArmor 2.0 管理指南)

安全性事件報告

此報告會顯示單一主機的應用程式安全性。此報告會針對特定時間中的本地應用程式報告違反原則的情況。您可以編輯和自訂此報告,或新增新版本。如需詳細資訊,請參閱 節 4.3.1.2, "安全性事件報告" (↑Novell AppArmor 2.0 管理指南)

若要使用 Novell AppArmor 報告功能,請繼續進行以下步驟:

  1. 若要執行報告,請開啟 YaST+Novell AppArmor。開啟 Novell AppArmor 介面。

    AppArmor 介面
  2. Novell AppArmor 中按一下 AppArmor 報告。接著會出現 AppArmor 安全性事件報告視窗。在報告視窗中,選擇一個選項並繼續進行提供說明的區段:

    報告視窗
    檢視歸檔

    顯示所有已執行並儲存在 /var/log/apparmor/reports-archived/ 中的報告。選擇要詳細檢視的報告並按一下檢視。如需關於檢視歸檔的說明,請繼續進行 節 4.3.1, "檢視已歸檔的報告" (↑Novell AppArmor 2.0 管理指南)

    立即執行

    針對選擇的報告類型產生一個即時的版本。如果您選擇安全性事件報告,其將會以各種方式進行進一步篩選。如需關於立即執行的說明,請繼續進行 節 4.3.2, "立即執行:執行指定報告" (↑Novell AppArmor 2.0 管理指南)

    新增

    建立排定的安全性事件報告。如需關於新增說明,請繼續進行 節 4.3.3, "新增新的報告" (↑Novell AppArmor 2.0 管理指南)

    編輯

    編輯排定的安全性事件報告。

    刪除

    刪除排定的安全性事件報告。您無法刪除已儲存或歸檔的報告。

    上一步

    可讓您回到 Novell AppArmor 主畫面。

    中止

    可讓您回到 Novell AppArmor 主畫面。

    下一步

    執行與立即執行按鈕相同的功能。

4.3.1. 檢視已歸檔的報告

檢視報告可讓您指定位置以累積一或多個系統中的報告,其中包含按日期或按存取程式名稱進行篩選的功能,並可在一份報告中顯示全部的資料。

  1. AppArmor 安全性事件報告視窗中,選擇檢視歸檔

    安全性事件報告
  2. 選擇要檢視的報告類型。可切換不同的類型,包括 SIR (安全性事件報告)、App Aud (應用程式稽核) 和 ESS (執行安全性摘要)。

  3. 您可以在已歸檔報告的位置中變更已歸檔報告的目錄位置。選擇接受以使用目前的目錄,或選擇瀏覽來尋找新的報告位置。預設目錄為 /var/log/apparmor/reports-archived/

  4. 若要檢視歸檔中的全部報告,請選擇全部檢視。若要檢視特定報告,請選擇某個列於報告欄位中的報告檔案,然後選擇檢視

  5. 如需檢視應用程式稽核執行安全性摘要報告,請繼續進行 步驟 9 (↑Novell AppArmor 2.0 管理指南)

  6. 會開啟安全性事件報告的報告組態對話方塊

    報告組態
  7. 報告組態對話方塊可讓您篩選在上一個畫面中選擇的報告。輸入所要的篩選詳細資訊。這些欄位包括:

    日期範圍

    若要顯示某段時間的報告,請選擇按日期範圍篩選。輸入開始和結束日期以定義報告的範圍。

    程式名稱

    當您輸入的程式名稱或型式符合相關程式之二進位執行檔的名稱時,報告就會顯示特定程式所發生的安全性事件。

    設定檔名稱

    當您輸入設定檔名稱時,報告就會顯示特定設定檔所產生的安全性事件。您可以使用此欄位來檢視特定設定檔所限制的事件。

    PID 號碼

    PID 號碼是一種用來識別特定程序或執行程式的唯一號碼 (此號碼只有在該程序的存在時間中才有效)。

    嚴重程度

    為報告中的安全性事件選擇最低嚴重程度。選擇的或以上的嚴重程度都會包含在報告中。

    詳細資訊

    設定檔已拒絕存取的來源。這包含了各種功能和檔案。您可以使用此欄位來報告設定檔所禁止存取的資源。

    存取類型

    存取類型會描述安全性事件所實際發生的情況。可用的選項如下:允許中拒絕中稽核中

    模式

    模式為設定檔授與程式的許可權,或者是套用的程序。可用的選項如下:r (讀取) w (寫入) l (連結) x (執行)。

    匯出類型

    可讓您匯出 CSV (逗號分隔值) 或 HTML 檔案。CSV 檔案可使用標準資料格式並以逗號分隔記錄項目中的段落,以匯入至表格導向的應用程式。您可以在提供的欄位中鍵入完整的路徑名稱來輸入匯出報告的路徑名稱。

    儲存記錄的位置

    讓您變更儲存匯出報告的位置。預設位置為 /var/log/apparmor/reports-exported。當您變更此位置時,請選擇接受。選擇瀏覽來瀏覽檔案系統。

  8. 若要檢視報告,請視需要進行篩選,然後選擇下一步。會顯示其中一種報告。

  9. 請參閱以下章節取得關於各種報告的詳細資訊。

4.3.1.1. 應用程式稽核報告

一種稽核工具,可報告正在執行的應用程式伺服器,以及其是否受到 AppArmor 限制。應用程式伺服器是接收連入網路連線的應用程式。此報告會提供主機的 IP 位址、執行的應用程式稽核報告日期、未受限程式或應用程式伺服器的名稱和路徑、未受限程式的建議設定檔或設定檔保留字元、處理序識別碼、程式狀態 (受限或未受限)以及設定檔所執行的限制類型 (enforce 或 complain)。

以下畫面表示應用程式稽核報告:

應用程式稽核報告

以下為應用程式稽核報告中的欄位定義:

主機

AppArmor 所保護的機器,其中包含報告中的安全性事件。

日期

發生安全性事件的日期。

程式

執行程序的名稱。

設定檔

已套用至程序中的安全性設定檔絕對名稱。

PID

PID 號碼是一種用來識別特定程序或執行程式的唯一號碼 (此號碼只有在該程序的存在時間中才有效)。

狀態

此欄位會表示列於程式欄位中的程式是否受到限制。若未限制,您可能要考慮為其建立一個設定檔。

類型

此欄位會顯示安全性事件所代表的限制類型。其會表示 complain 或 enforce。若應用程式並未受到限制 (狀態),則不會報告任何限制類型。

4.3.1.2. 安全性事件報告

顯示管理員所關切的安全性事件報告。SIR 報告會針對指定時間中的本地應用程式報告違反原則的情況。SIR 會報告原則例外和原則引擎狀態變更。這兩種安全性事件會如以下所示進行定義:

原則例外

當應用程式要求未在設定檔中定義的資源時,就會觸發安全性事件。並會產生一份報告,顯示管理員所關切的安全性事件。SIR 會針對指定期間本機受限制應用程式報告違反原則的情況。SIR 會報告原則例外和原則引擎狀態變更。

原則引擎狀態變更

強制執行應用程式的原則並維護其狀態,包含了引擎啟動或停止的時間、重新載入原則的時間,以及啟用或停用全域安全性功能的時間。

以下畫面表示 SIR 報告:

安全性事件報告

以下為 SIR 報告中的欄位定義:

主機

AppArmor 所保護的機器,其中包含報告中的安全性事件。

日期

發生安全性事件的日期。

程式

執行程序的名稱。

設定檔

已套用至程序中的安全性設定檔絕對名稱。

PID

PID 號碼是一種用來識別特定程序或執行程式的唯一號碼 (此號碼只有在該程序的存在時間中才有效)。

嚴重程度

事件的嚴重程度會根據嚴重事件資料庫進行報告。嚴重事件資料庫會定義潛在安全性事件的重要性,並從 1 到 10 進行編號,10 代表最嚴重的安全性事件。嚴重程度是根據不同安全性事件的威脅或重要性來決定,例如某些存取的資源或拒絕的服務。

模式

模式為設定檔授與程式的許可權,或者是套用的程序。這些選項為 r (讀取)、w (寫入)、l (連結)、x (執行)。

詳細資訊

設定檔已拒絕存取的來源。包含了各種功能和檔案。您可以使用此欄位來報告設定檔所禁止存取的資源。

存取類型

存取類型會描述安全性事件所實際發生的情況。這些選項為允許中拒絕中稽核中

4.3.1.3. 執行安全性摘要

這是一種組合報告,其中包含了來自一個或多個機器的一個或多個高層次報告。您可將每個機器的資料複製至報告歸檔目錄 (/var/log/apparmor/reports-archived),使報告可提供多個機器的安全性事件之單一檢視。此報告會提供主機的 IP 位址、輪詢事件的開始和結束日期、拒絕總數、事件總數、報告的平均嚴重程度,以及報告的最高嚴重程度。ESS 報告中的一行代表 SIR 報告中的一個範圍。

以下畫面表示一個執行安全性摘要:

執行安全性摘要

以下為執行安全性摘要報告中的欄位定義:

主機

AppArmor 所保護的機器,其中包含報告中的安全性事件。

開始日期

報告安全性事件日期範圍內的第一個日期。

結束日期

報告安全性事件日期範圍內的最後一個日期。

拒絕次數

在特定日期範圍內,已拒絕存取嘗試的安全性事件總數。

事件數

在特定日期範圍內,安全性事件的總數。

平均嚴重程度

這是在特定日期範圍內報告的嚴重程度平均值。此數值將不考慮未知的嚴重程度。

最高嚴重程度

這是在特定日期範圍內報告事件的最高嚴重程度。

4.3.2. 立即執行:執行指定報告

立即執行報告功能可讓您立即從 Novell AppArmor 事件記錄中擷取報告資訊,而不需等待排定的事件。如果您需要關於瀏覽主報告畫面的說明 (請參閱 節 4.3, "報告" (↑Novell AppArmor 2.0 管理指南)),請回到本章節的開頭。透過以下的步驟來執行報告清單中的報告:

  1. 排程報告視窗中,從報告清單中選擇要立即執行的報告。

  2. 選擇立即執行下一步。下一個畫面將視您在上一個步驟中選擇的報告而定。如需檢視應用程式稽核執行安全性摘要報告,請繼續進行 步驟 6 (↑Novell AppArmor 2.0 管理指南)

  3. 會顯示安全性事件報告的報告組態對話方塊

    報告組態
  4. 報告組態對話方塊可讓您篩選在上一個畫面中選擇的報告。輸入所要的篩選詳細資訊。下列是可用的篩選選項:

    日期範圍

    若要將報告限制在某段時間,請選擇按日期範圍篩選。輸入開始和結束日期以決定報告的範圍。

    程式名稱

    當您輸入的程式名稱或型式符合相關程式之二進位執行檔的名稱時,報告將只會顯示指定程式所發生的安全性事件。

    設定檔名稱

    當您輸入設定檔名稱時,報告就會顯示特定設定檔所產生的安全性事件。您可以使用此欄位來檢視特定設定檔所限制的事件。

    PID 號碼

    PID 號碼是一種用來識別特定程序或執行程式的唯一號碼 (此號碼只有在該程序的存在時間中才有效)。

    嚴重程度

    為報告中的安全性事件選擇最低嚴重程度。選擇的和更高層級的嚴重程度都會包含在報告中。

    詳細資訊

    設定檔已拒絕存取的來源。這包含了各種功能和檔案。您可以使用此欄位來報告設定檔所禁止存取的資源。

    存取類型

    存取類型會描述安全性事件所實際發生的情況。這些選項為允許中拒絕中稽核中

    模式

    模式為設定檔授與程式的許可權,或者是套用的程序。這些選項為 r (讀取)、w (寫入)、l (連結)、x (執行)。

    匯出類型

    可讓您匯出 CSV (逗號分隔值) 或 HTML 檔案。CSV 檔案可使用標準資料格式並以逗號分隔記錄項目中的段落,以匯入至表格導向的應用程式。您可以在提供的欄位中鍵入完整的路徑名稱來輸入匯出報告的路徑名稱。

    儲存記錄的位置

    讓您變更儲存匯出報告的位置。預設位置為 /var/log/apparmor/reports-exported。當您變更此位置時,請選擇接受。選擇瀏覽來瀏覽檔案系統。

  5. 若要檢視報告,請視需要進行篩選,然後選擇下一步。會顯示其中一種報告。

  6. 請參閱以下章節取得關於各種報告的詳細資訊。

4.3.3. 新增新的報告

「新增新的報告」可讓您建立排定的安全性事件報告,以根據預先設定的篩選來顯示 Novell AppArmor 安全性事件。當您在排程報告中設定報告時,它會定期啟動發生在系統上的 Novell AppArmor 安全性事件報告。

您可以設定每天、每週、每月、或每小時執行一次的指定期間報告。您可以設定報告顯示某種嚴重程度的拒絕,或者按程式名稱、設定檔名稱、嚴重程度或拒絕的資源進行篩選。此報告可匯出成 HTML (超本文標示語言) 或 CSV (逗號分隔值) 的檔案格式。

[Note]

如果您需要關於瀏覽主報告畫面的說明 (請參閱 節 4.3, "報告" (↑Novell AppArmor 2.0 管理指南)),請回到本章節的開頭。

若要新增新的排程安全性事件報告,請執行下列步驟:

  1. 按一下 新增以建立新的安全性事件報告。會開啟新增已排定 SIR 的第一頁。

    新增已排定 SIR
  2. 依需要在欄位中填入以下篩選資訊:

    報告名稱

    指定報告的名稱。請使用與下一個報告有明顯區別的名稱。

    月份的第幾日

    選擇當月中的一天來啟動報告中的每月篩選。如果您選擇全部,將不會執行每月篩選。

    星期幾

    若有需要,選擇當週的一天來排程每週報告。如果您選擇全部,將不會執行每週篩選。如果選擇每月報告,此欄位會預設為全部

    小時和分鐘

    選擇時間。這會指定您要讓報告執行的小時和分鐘。如果您不變更時間,選擇的報告會在午夜執行。如果未選擇月或天,報告會按照指定的時間來執行。

    電子郵件目標

    您可以將排定的安全性事件報告透過電子郵件傳送給最多三位收件者。只需輸入需要安全性事件資訊的電子郵件位址。

    匯出類型

    此選項可讓您匯出 CSV (逗號分隔值) 或 HTML 檔案。CSV 檔案可使用標準資料格式並以逗號分隔記錄項目中的段落,以匯入至表格導向的應用程式。您可以在提供的欄位中鍵入完整的路徑名稱來輸入匯出報告的路徑名稱。

    儲存記錄的位置

    讓您變更儲存匯出報告的位置。預設位置為 /var/log/apparmor/reports-exported。當您變更此位置時,請選擇接受。選擇瀏覽來瀏覽檔案系統。

  3. 按一下下一步以繼續進行新增已排定 SIR 的第二頁。

    新增已排定 SIR,第 2 頁
  4. 依需要在欄位中填入以下篩選資訊:

    程式名稱

    您可以指定符合相關程式之二進位執行檔名稱的程式名稱或型式。報告將只會顯示指定程式所發生的安全性事件。

    設定檔名稱

    您可以指定設定檔的名稱,使報告顯示該設定檔的安全性事件。您可以使用此欄位來檢視特定設定檔所限制的事件。

    PID 號碼

    PID 號碼是一種用來識別特定程序或執行程式的唯一號碼 (此號碼只有在該程序的存在時間中才有效)。

    詳細資訊

    設定檔已拒絕存取的來源。這包含了各種功能和檔案。您可以使用此欄位來建立設定檔所禁止存取的資源報告。

    嚴重程度

    選擇報告中的安全性事件之最低嚴重程度。選擇的和更高層級的嚴重程度都會包含在報告中。

    存取類型

    存取類型會描述安全性事件所實際發生的情況。這些選項為允許中拒絕中稽核中

    模式

    模式為設定檔授與程式的許可權,或者是套用的程序。這些選項為 r (讀取)、w (寫入)、l (連結)、x (執行)。

  5. 按一下儲存以儲存此報告。Novell AppArmor 會返回排定報告主視窗,其中最新排定的報告會在報告清單出現。

4.3.4. 編輯報告

您可從 AppArmor 報告畫面中,選擇和編輯報告。您無法編輯或刪除已儲存的報告

[Note]

如果您需要關於瀏覽主報告畫面的說明 (請參閱 節 4.3, "報告" (↑Novell AppArmor 2.0 管理指南)),請回到本章節的開頭。

透過以下的步驟來執行報告清單中的報告:

  1. 排程報告視窗的報告清單中,選擇要編輯的報告。

  2. 按一下編輯來編輯安全性事件報告。會顯示編輯已排程 SIR 的第一頁。

    編輯已排程 SIR
  3. 請視需要輸入以下的篩選資訊:

    月份的第幾日

    選擇當月中的一天來啟動報告中的每月篩選。如果您選擇全部,將不會執行每月篩選。

    星期幾

    選擇當週的一天來排程每週報告。如果您選擇全部,將不會執行每週篩選。如果選擇每月報告,則會預設為全部

    小時和分鐘

    選擇時間。這會指定您要讓報告執行的小時和分鐘。如果您不變更時間,選擇的報告會在午夜執行。如果未選擇當月的一天或當週的一天,報告會按照指定的時間來執行。

    電子郵件目標

    您可以將排定的安全性事件報告透過電子郵件傳送給最多三位收件者。只需輸入需要安全性事件資訊的電子郵件位址。

    匯出類型

    此選項可讓您匯出 CSV (逗號分隔值) 或 HTML 檔案。CSV 檔案可使用標準資料格式並以逗號分隔記錄項目中的段落,以匯入至表格導向的應用程式。您可以在提供的欄位中鍵入完整的路徑名稱來輸入匯出報告的路徑名稱。

    儲存記錄的位置

    讓您變更儲存匯出報告的位置。預設位置為 /var/log/apparmor/reports-exported。當您變更此位置時,請選擇接受。選擇瀏覽來瀏覽檔案系統。

  4. 按一下下一步以繼續進行編輯已排程 SIR 的下一頁。會開啟編輯已排程 SIR 的第二頁。

    編輯已排定報告,第 2 頁
  5. 視需要在欄位中填入以下篩選資訊:

    程式名稱

    您可以指定符合相關程式之二進位執行檔名稱的程式名稱或型式。報告將只會顯示指定程式所發生的安全性事件。

    設定檔名稱

    您可以指定要顯示安全性事件的設定檔名稱。您可以使用此欄位來檢視特定設定檔所限制的事件。

    PID 號碼

    PID 號碼是一種用來識別特定程序或執行程式的唯一號碼 (此號碼只有在該程序的存在時間中才有效)。

    詳細資訊

    設定檔已拒絕存取的來源。這包含了各種功能和檔案。您可以使用此欄位來建立設定檔所禁止存取的資源報告。

    嚴重程度

    為報告中的安全性事件選擇最低嚴重程度。選擇的和更高層級的嚴重程度都會包含在報告中。

    存取類型

    存取類型會描述安全性事件所實際發生的情況。這些選項為允許中拒絕中稽核中

    模式

    模式為設定檔授與程式的許可權,或者是套用的程序。這些選項為 r (讀取)、w (寫入)、l (連結)、x (執行)。

  6. 選擇儲存以將變更存入此報告。Novell AppArmor 會返回排定報告主視窗,其中排定的報告會在報告清單出現。

4.3.5. 刪除報告

刪除報告可讓您永久移除 Novell AppArmor 已排定報告清單中的報告。若要刪除報告,請依照下列指示:

  1. 若要移除報告清單中的報告,請反白該報告並按一下刪除

  2. 如果您不要刪除選擇的報告,請在確認快顯視窗中選擇取消。如果您確定要永久移除報告清單中的報告,請選擇刪除