usr/src/man/man1m/audit_warn.1m

   1 '\" te
   2 .\" Copyright (c) 2017 Peter Tribble
   3 .\" Copyright (c) 2003, Sun Microsystems, Inc. All Rights Reserved.
   4 .\" The contents of this file are subject to the terms of the Common Development and Distribution License (the "License").  You may not use this file except in compliance with the License.
   5 .\" You can obtain a copy of the license at usr/src/OPENSOLARIS.LICENSE or http://www.opensolaris.org/os/licensing.  See the License for the specific language governing permissions and limitations under the License.
   6 .\" When distributing Covered Code, include this CDDL HEADER in each file and include the License file at usr/src/OPENSOLARIS.LICENSE.  If applicable, add the following below this CDDL HEADER, with the fields enclosed by brackets "[]" replaced with your own identifying information: Portions Copyright [yyyy] [name of copyright owner]
   7 .TH AUDIT_WARN 1M "Mar 6, 2017"
   8 .SH NAME
   9 audit_warn \- audit daemon warning script
  10 .SH SYNOPSIS
  11 .LP
  12 .nf
  13 \fB/etc/security/audit_warn\fR [\fIoption\fR [\fIarguments\fR]]
  14 .fi
  15
  16 .SH DESCRIPTION
  17 .LP
  18 The \fBaudit_warn\fR utility processes warning or error messages from the audit
  19 daemon. When a problem is encountered, the audit daemon, \fBauditd\fR(1M) calls
  20 \fBaudit_warn\fR with the appropriate arguments. The \fIoption\fR argument
  21 specifies the error type.
  22 .sp
  23 .LP
  24 The system administrator can specify a list of mail recipients to be notified
  25 when an audit_warn situation arises by defining a mail alias called
  26 \fBaudit_warn\fR in \fBaliases\fR(4). The users that make up the
  27 \fBaudit_warn\fR alias are typically the \fBaudit\fR and \fBroot\fR users.
  28 .SH OPTIONS
  29 .LP
  30 The following options are supported:
  31 .sp
  32 .ne 2
  33 .na
  34 \fB\fBallhard\fR \fIcount\fR\fR
  35 .ad
  36 .sp .6
  37 .RS 4n
  38 Indicates that the hard limit for all filesystems has been exceeded \fIcount\fR
  39 times. The default action for this option is to send mail to the
  40 \fBaudit_warn\fR alias only if the \fIcount\fR is \fB1\fR, and to write a
  41 message to the machine console every time. It is recommended that mail
  42 \fInot\fR be sent every time as this could result in a the saturation of the
  43 file system that contains the mail spool directory.
  44 .RE
  45
  46 .sp
  47 .ne 2
  48 .na
  49 \fB\fBallsoft\fR\fR
  50 .ad
  51 .sp .6
  52 .RS 4n
  53 Indicates that the soft limit for all filesystems has been exceeded. The
  54 default action for this option is to send mail to the \fBaudit_warn\fR alias
  55 and to write a message to the machine console.
  56 .RE
  57
  58 .sp
  59 .ne 2
  60 .na
  61 \fB\fBauditoff\fR\fR
  62 .ad
  63 .sp .6
  64 .RS 4n
  65 Indicates that someone other than the audit daemon changed the system audit
  66 state to something other than \fB\fR\fBAUC_AUDITING\fR\fB\&. \fR The audit
  67 daemon will have exited in this case. The default action for this option is to
  68 send mail to the \fBaudit_warn\fR alias and to write a message to the machine
  69 console.
  70 .RE
  71
  72 .sp
  73 .ne 2
  74 .na
  75 \fB\fBhard\fR \fIfilename\fR\fR
  76 .ad
  77 .sp .6
  78 .RS 4n
  79 Indicates that the hard limit for the file has been exceeded. The default
  80 action for this option is to send mail to the \fBaudit_warn\fR alias and to
  81 write a message to the machine console.
  82 .RE
  83
  84 .sp
  85 .ne 2
  86 .na
  87 \fB\fBnostart\fR\fR
  88 .ad
  89 .sp .6
  90 .RS 4n
  91 Indicates that auditing could not be started. The default action for this
  92 option is to send mail to the \fBaudit_warn\fR alias and to write a message to
  93 the machine console. Some administrators may prefer to modify \fBaudit_warn\fR
  94 to reboot the system when this error occurs.
  95 .RE
  96
  97 .sp
  98 .ne 2
  99 .na
 100 \fB\fBplugin\fR \fIname\fR \fIerror\fR \fIcount\fR \fItext\fR\fR
 101 .ad
 102 .sp .6
 103 .RS 4n
 104 Indicates that an error occurred during execution of the \fBauditd\fR plugin
 105 \fIname\fR. The default action for this option is to send mail to the
 106 \fBaudit_warn\fR alias only if \fIcount\fR is 1, and to write a message to the
 107 machine console every time. (Separate counts are kept for each error type.) It
 108 is recommended that mail not be sent every time as this could result in the
 109 saturation of the file system that contains the mail spool directory. The
 110 \fItext\fR field provides the detailed error message passed from the plugin.
 111 The \fIerror\fR field is one of the following strings:
 112 .sp
 113 .ne 2
 114 .na
 115 \fB\fBload_error\fR\fR
 116 .ad
 117 .RS 16n
 118 Unable to load the plugin \fIname\fR.
 119 .RE
 120
 121 .sp
 122 .ne 2
 123 .na
 124 \fB\fBsys_error\fR\fR
 125 .ad
 126 .RS 16n
 127 The plugin \fIname\fR is not executing due to a system error such as a lack of
 128 resources.
 129 .RE
 130
 131 .sp
 132 .ne 2
 133 .na
 134 \fB\fBconfig_error\fR\fR
 135 .ad
 136 .RS 16n
 137 No plugins loaded (including the binary file plugin, \fBaudit_binfile\fR(5))
 138 due to configuration errors. The name string is
 139 \fB--\fR to indicate that no plugin name applies.
 140 .RE
 141
 142 .sp
 143 .ne 2
 144 .na
 145 \fB\fBretry\fR\fR
 146 .ad
 147 .RS 16n
 148 The plugin \fIname\fR reports it has encountered a temporary failure.
 149 .RE
 150
 151 .sp
 152 .ne 2
 153 .na
 154 \fB\fBno_memory\fR\fR
 155 .ad
 156 .RS 16n
 157 The plugin \fIname\fR reports a failure due to lack of memory.
 158 .RE
 159
 160 .sp
 161 .ne 2
 162 .na
 163 \fB\fBinvalid\fR\fR
 164 .ad
 165 .RS 16n
 166 The plugin \fIname\fR reports it received an invalid input.
 167 .RE
 168
 169 .sp
 170 .ne 2
 171 .na
 172 \fB\fBfailure\fR\fR
 173 .ad
 174 .RS 16n
 175 The plugin \fIname\fR has reported an error as described in \fItext\fR.
 176 .RE
 177
 178 .RE
 179
 180 .sp
 181 .ne 2
 182 .na
 183 \fB\fBsoft\fR \fIfilename\fR\fR
 184 .ad
 185 .sp .6
 186 .RS 4n
 187 Indicates that the soft limit for \fIfilename\fR has been exceeded. The default
 188 action for this option is to send mail to the \fBaudit_warn\fR alias and to
 189 write a message to the machine console.
 190 .RE
 191
 192 .sp
 193 .ne 2
 194 .na
 195 \fB\fBtmpfile\fR\fR
 196 .ad
 197 .sp .6
 198 .RS 4n
 199 Indicates that there was a problem creating a symlink from
 200 \fB/var/run/.audit.log\fR to the current audit log file..
 201 .RE
 202
 203 .SH ATTRIBUTES
 204 .LP
 205 See \fBattributes\fR(5) for descriptions of the following attributes:
 206 .sp
 207
 208 .sp
 209 .TS
 210 box;
 211 c | c
 212 l | l .
 213 ATTRIBUTE TYPE  ATTRIBUTE VALUE
 214 _
 215 Interface Stability     Evolving
 216 .TE
 217
 218 .sp
 219 .LP
 220 The interface stability is evolving. The file content is unstable.
 221 .SH SEE ALSO
 222 .LP
 223 \fBaudit\fR(1M), \fBauditd\fR(1M), \fBaliases\fR(4),
 224 \fBaudit.log\fR(4), \fBattributes\fR(5)
 225 .SH NOTES
 226 .LP
 227 If the audit policy \fBperzone\fR is set, the \fB/etc/security/audit_warn\fR
 228 script for the local zone is used for notifications from the local zone's
 229 instance of \fBauditd\fR. If the \fBperzone\fR policy is not set, all
 230 \fBauditd\fR errors are generated by the global zone's copy of
 231 \fB/etc/security/audit_warn\fR.