2 files changed, 1593 insertions, 117 deletions

diff --git a/documentation/content/ru/books/handbook/audit/_index.adoc b/documentation/content/ru/books/handbook/audit/_index.adoc
index 05808c0bd7..c2a2b9d971 100644
--- a/documentation/content/ru/books/handbook/audit/_index.adoc
+++ b/documentation/content/ru/books/handbook/audit/_index.adoc
@@ -1,12 +1,14 @@
 ---
-title: Глава 16. Аудит событий безопасности
-part: Часть III. Системное администрирование
-prev: books/handbook/mac
+description: 'В FreeBSD поддерживается аудит событий безопасности, обеспечивающий надежное, детализированное и настраиваемое журналирование различных системных событий, связанных с безопасностью, включая входы в систему, изменения конфигурации, а также доступ к файлам и сети'
 next: books/handbook/disks
-showBookMenu: true
-weight: 20
 params:
-  path: "/books/handbook/audit/"
+  path: /books/handbook/audit/
+part: 'Часть III. Администрирование системы'
+prev: books/handbook/mac
+showBookMenu: true
+tags: ["audit", "terms", "configuration", "guide", "audit trails"]
+title: 'Глава 19. Аудит событий безопасности'
+weight: 23
 ---
 
 [[audit]]
@@ -17,7 +19,7 @@ params:
 :icons: font
 :sectnums:
 :sectnumlevels: 6
-:sectnumoffset: 16
+:sectnumoffset: 19
 :partnums:
 :source-highlighter: rouge
 :experimental:
@@ -48,63 +50,62 @@ include::../../../../../shared/asciidoctor.adoc[]
 endif::[]
 
 [[audit-synopsis]]
-== Краткий обзор
+== Обзор
 
-Операционная система FreeBSD включает в себя поддержку аудита событий безопасности. Аудит позволяет выполнять надежное, детальное и гибко настраиваемое протоколирование различных событий, связанных с безопасностью, включая входы в систему, изменения конфигурации, доступ к файлам и сети. Эти записи могут быть незаменимы для мониторинга функционирующей системы, обнаружения вторжений и для анализа событий, приведших к краху системы. В FreeBSD реализован опубликованный Sun(TM) интерфейс прикладного программирования (Application Programming Interface, API), называемый Basic Security Module (BSM), и формат файла, который совместим с реализациями аудита в Solaris(TM) и Mac OS(R) X.
+Операционная система FreeBSD включает поддержку аудита событий безопасности. Аудит событий обеспечивает надежное, детализированное и настраиваемое журналирование различных системных событий, связанных с безопасностью, включая входы в систему, изменения конфигурации, доступ к файлам и сети. Эти записи журнала могут быть неоценимыми для мониторинга системы в реальном времени, обнаружения вторжений и "посмертного" анализа после краха системы. FreeBSD реализует опубликованный Sun(TM) программный интерфейс Basic Security Module (BSM) и формат файлов, и также совместима с реализациями аудита Solaris(TM) и Mac OS(R) X.
 
-В этой главе описывается процесс установки и конфигурирования системы аудита. В том числе, приводится разъяснение политик аудита, а также даются примеры конфигурационных файлов.
+Эта глава посвящена установке и настройке аудита событий. В ней объясняются политики аудита и приводится пример конфигурации аудита.
 
-После прочтения этой главы вы будете знать:
+Прочитав эту главу, вы будете знать:
 
-* Что такое система аудита и как она работает.
-* Как настроить аудит во FreeBSD для мониторинга пользователей и процессов.
-* Как просматривать журнал аудита при помощи инструментов просмотра и фильтрации (reduction).
+* Что такое аудит событий и как он работает.
+* Как настроить аудит событий в FreeBSD для пользователей и процессов.
+* Как просмотреть журнал аудита с использованием инструментов сокращения и просмотра аудита.
 
-Перед прочтением этой главы вы должны:
+Прежде чем читать эту главу, вы должны:
 
-* Понимать основы UNIX(R) и FreeBSD (crossref:basics[basics, Основы UNIX]).
-* Уметь конфигурировать и компилировать ядро (crossref:kernelconfig[kernelconfig, Настройка ядра FreeBSD]).
-* Понимать основные принципы безопасности в применении к операционной системе FreeBSD (crossref:security[security, Безопасность]).
+* Понимать основы UNIX(R) и FreeBSD (crossref:basics[basics,Основы FreeBSD]).
+* Быть знакомым с основами настройки и компиляции ядра (crossref:kernelconfig[kernelconfig,Настройка ядра FreeBSD]).
+* Иметь некоторое представление о безопасности и о том, как она относится к FreeBSD (crossref:security[security,Безопасность]).
 
 [WARNING]
 ====
+У системы аудита есть несколько известных ограничений. Не все связанные с безопасностью системные события подлежат аудиту, а некоторые механизмы входа, такие как дисплейные менеджеры на основе Xorg и сторонние демоны, не настраивают аудит для сеансов пользовательского входа должным образом.
 
-Реализация аудита имеет известные ограничения. Не все события в настоящий момент протоколируемые. Также, некоторые механизмы входа в систему, такие как оконные менеджеры X11 или демоны от сторонних производителей, не настраивают аудит пользовательских сессий должным образом.
-
-Использование системы аудита может привести к генерированию изобилующих подробностями журнальных файлов. Их размер на загруженных серверах в некоторых конфигурациях может превышать несколько гигабайт в неделю. Администраторы должны принимать во внимание требования к дисковому пространству для нагруженных конфигураций системы аудита. Например, желательно выделить отдельный раздел для файловой системы аудита [.filename]#/var/audit#, чтобы заполнение раздела аудита не влияло на другие файловые системы.
+Система аудита событий безопасности способна создавать очень подробные журналы активности системы. На загруженной системе данные файлов журналов могут быть очень большими при настройке высокой детализации, в некоторых конфигурациях превышая гигабайты в неделю. Администраторы должны учитывать требования к дисковому пространству, связанные с конфигурациями аудита с высоким объемом данных. Например, может быть целесообразно выделить отдельную файловую систему для [.filename]#/var/audit#, чтобы другие файловые системы не пострадали, если файловая система аудита переполнится.
 ====
 
 [[audit-inline-glossary]]
-== Ключевые понятия
+== Ключевые термины
 
-Следующие термины относятся к аудиту событий безопасности:
+Следующие термины связаны с аудитом событий безопасности:
 
-* _событие_ (event): событие, которое может быть занесено в журнал. Примерами событий, относящихся к безопасности системы, являются: создание файла, инициализацию сетевого соединения, вход пользователя в систему. События разделяются на "приписываемые" (attributable) - те, которые могут быть отнесены к конкретному пользователю - и "неприписываемые" (non-attributable). Пример неприписываемого события - любое событие, произошедшее до аутентификации пользователя, например, неверно набранный пароль.
-* _класс_ (class): именованные наборы однотипных событий, которые используются в выражениях выбора. Часто используемые классы событий включают "создание файла" (fc), "выполнение файла" (ex) и "события входа в систему и выхода из нее" (lo).
-* _запись_ (record): единичная запись в журнале, описывающая то или иное событие. Записи содержат информацию о типе события, информацию о субъекте события (пользователе), который выполнил некоторое действие, дату и время события, информацию об объектах и аргументах события, а также информацию об успешности или неуспешности выполнения операции.
-* _журнал_ (trail): файл, содержащий последовательность записей аудита, описывающих события безопасности (security events). Журнал содержит записи в ориентировочно хронологическом порядке по времени завершения события. Только авторизованные процессы могут добавлять записи в журнал.
-* _выражение выбора_ (selection expression): строка, содержащая список префиксов и имен классов, используемая для выбора группы событий.
-* _предварительный выбор_ (preselection): процесс, с помощью которого система определяет, какие события имеют важность для администратора. Предварительный выбор использует ряд выражений выбора, задающих какие именно классы событий и для какого пользователя необходимо вносить в журнал, а также - глобальные настройки, которые будут применяться как для авторизованных, так и для неавторизованных процессов.
-* _фильтрация_ (reduction): процесс, в результате которого записи из существующего журнала выделяются для хранения, распечатки или анализа. Также, это процесс, в результате которого нежелательные записи удаляются из журнала аудита. Используя фильтрацию, администраторы могут реализовывать различные политики хранения данных аудита. Например, детализированный журнал может храниться месяц, но после этого он может быть сокращен чтобы хранить только информацию о входе в систему и выходе из нее.
+* _событие (event)_: аудируемое событие — это любое событие, которое может быть зарегистрировано с помощью подсистемы аудита. Примерами событий, связанных с безопасностью, являются создание файла, установка сетевого соединения или вход пользователя в систему. События могут быть "приписываемые", то есть их можно отследить до аутентифицированного пользователя, или "неприписываемые". Примерами неприписываемых событий являются любые события, происходящие до аутентификации в процессе входа в систему, например, неудачные попытки ввода пароля.
+* _класс (class)_: именованный набор связанных событий, используемых в выражениях выбора. Распространённые классы событий включают "создание файла" (fc), "выполнение" (ex) и "вход/выход" (lo).
+* _запись (record)_: запись в журнале аудита, описывающая событие безопасности. Записи содержат тип события, информацию о субъекте (пользователе), выполняющем действие, данные о дате и времени, информацию об объектах или аргументах, а также указание на успешность или неудачу выполнения.
+* _журнал (trail)_: файл журнала, состоящий из серии записей аудита, описывающих события безопасности. Записи в журнале расположены в приблизительном хронологическом порядке относительно времени завершения событий. Только авторизованные процессы имеют право добавлять записи в журнал аудита.
+* _выражение выбора (selection expression)_: строка, содержащая список префиксов и имен классов событий аудита, используемых для сопоставления событий.
+* _предварительный выбор (preselection)_: процесс, в ходе которого система определяет, какие события представляют интерес для администратора. Конфигурация предварительного отбора использует ряд выражений выбора для определения классов событий, подлежащих аудиту для конкретных пользователей, а также глобальные настройки, применяемые как к авторизованным, так и к неавторизованным процессам.
+* _фильтрация (reduction)_: процесс выбора записей из существующих журналов аудита для сохранения, печати или анализа. Аналогично, процесс удаления нежелательных записей аудита из журнала. Используя сокращение, администраторы могут реализовать политики сохранения данных аудита. Например, детальные журналы аудита могут храниться в течение одного месяца, но после этого они могут быть сокращены, чтобы сохранить только информацию о входах в систему для архивных целей.
 
 [[audit-config]]
-== Настройка системы аудита
+== Настройка аудита
 
-Пользовательская часть системы аудита входит в базовую систему FreeBSD, системная часть включена в ядро [.filename]#GENERIC#, старт демона man:auditd[8] активируется включением следующей записи в [.filename]#/etc/rc.conf#:
+Поддержка аудита событий в пользовательском пространстве устанавливается как часть базовой операционной системы FreeBSD. Поддержка на уровне ядра доступна в ядре [.filename]#GENERIC# по умолчанию, и man:auditd[8] может быть включен добавлением следующей строки в [.filename]#/etc/rc.conf#:
 
 [.programlisting]
 ....
 auditd_enable="YES"
 ....
 
-Затем нужно запустить демон аудита:
+Затем запустите демон аудита:
 
-[source,shell]
+[source, shell]
 ....
 # service auditd start
 ....
 
-Пользователям, предпочитающим строить специализированное ядро, необходимо включить следующую запись в файл конфигурации ядра:
+Пользователи, предпочитающие компилировать собственное ядро, должны включить следующую строку в файл конфигурации своего ядра:
 
 [.programlisting]
 ....
@@ -113,89 +114,89 @@ options	AUDIT
 
 === Выражения выбора событий
 
-Выражения выбора используются в нескольких местах конфигурации для отбора событий, подлежащих аудиту. Выражения содержат перечень классов событий, с которым сравнивается происшедшее событие. Выражения выбора рассматриваются слева направо, и два выражения объединяются добавлением первого выражения ко второму.
+Выражения выбора используются в нескольких местах конфигурации аудита для определения, какие события должны аудироваться. Выражения содержат список классов событий для сопоставления. Выражения выбора вычисляются слева направо, а два выражения объединяются путем добавления одного к другому.
 
-<<event-selection>> перечисляет имеющиеся по умолчанию записи:
+crossref:audit[event-selection,Классы событий аудита по умолчанию] содержит сводку классов событий аудита по умолчанию:
 
 [[event-selection]]
-.Классы событий системы аудита
+.Классы событий аудита по умолчанию
 [cols="1,1,1", frame="none", options="header"]
 |===
 | Имя класса
-| Расшифровка
+| Описание
 | Действие
 
 |all
 |all
-|Соответствует всем классам событий.
+|Совпадает со всеми классами событий.
 
 |aa
 |authentication and authorization
-|
+| 
 
 |ad
 |administrative
-|Аудит административных действий, произошедших в системе.
+|Административные действия, выполняемые с системой в целом.
 
 |ap
 |application
-|События, определяемые каким-либо приложением.
+|Определенное приложением действие.
 
 |cl
 |file close
-|Аудит вызовов системной функции `close`.
+|Аудит вызовов системного вызова `close`.
 
 |ex
 |exec
-|Аудит запуска приложения. Аудит аргументов командной строки и переменных окружения контролируется через man:audit_control[5] используя параметры `argv` и `envv` в опции `policy`.
+|Аудит выполнения программ. Аудит аргументов командной строки и переменных окружения контролируется через man:audit_control[5] с использованием параметров `argv` и `envv` в настройке `policy`.
 
 |fa
 |file attribute access
-|Аудит доступа к атрибутам объектов, например таких как man:stat[1], man:pathconf[2].
+|Аудит доступа к атрибутам объектов, таким как man:stat[1] и man:pathconf[2].
 
 |fc
 |file create
-|Аудит событий, в результате которых создаются файлы.
+|События аудита, в результате которых создается файл.
 
 |fd
 |file delete
-|Аудит событий, в результате которых удаляются файлы.
+|Аудит событий, в которых происходит удаление файлов.
 
 |fm
 |file attribute modify
-|Аудит событий, в результате которых изменяются атрибуты файлов, например, man:chown[8], man:chflags[1], man:flock[2].
+|События аудита, связанные с изменением атрибутов файлов, например, с помощью man:chown[8], man:chflags[1] и man:flock[2].
 
 |fr
 |file read
-|Аудит событий, в результате которых происходит чтение данных или открываются файлы на чтение.
+|События аудита, в которых данные читаются или файлы открываются для чтения.
 
 |fw
 |file write
-|Аудит событий, в результате которых происходит запись данных, запись или изменение файлов.
+|События аудита, в которых данные записываются или файлы создаются либо изменяются.
 
 |io
 |ioctl
-|Аудит вызовов системной функции man:ioctl[2].
+|Контроль использования системного вызова `ioctl`.
 
 |ip
 |ipc
-|Аудит различных видов взаимодействия процессов, включая создание неименованных каналов (POSIX pipe) и взаимодействие процессов в стиле System V IPC.
+|Аудит различных форм межпроцессного взаимодействия, включая POSIX-каналы и операции System V IPC.
 
 |lo
 |login_logout
-|Аудит событий man:login[1] и man:logout[1].
+|Audit man:login[1] и man:logout[1] события.
 
 |na
 |non attributable
 |Аудит неприписываемых событий.
 
 |no
-|invalid class
-|Не соответствует никаким событиям аудита.
+|ошибочный класс
+|Не соответствует ни одному событию аудита.
 
 |nt
 |network
-|Аудит событий, связанных с сетевыми подключениями, например man:connect[2] и man:accept[2].
+|События аудита, связанные с сетевыми действиями, такими как man:connect[2] и man:accept[2].
 
 |ot
 |other
@@ -203,68 +204,66 @@ options	AUDIT
 
 |pc
 |process
-|Аудит действий процессов, таких как man:exec[3] и man:exit[3].
+|Аудит операций процессов, таких как man:exec[3] и man:exit[3].
 |===
 
-Эти классы событий могут быть настроены изменением конфигурационных файлов [.filename]#audit_class# и [.filename]#audit_event#.
+Эти классы событий аудита могут быть настроены путем изменения конфигурационных файлов [.filename]#audit_class# и [.filename]#audit_event#.
+
+Каждый класс событий аудита может быть объединен с префиксом, указывающим, соответствуют ли успешные/неудачные операции, и добавляется или удаляется запись для соответствия классу и типу. В crossref:audit[event-prefixes,Префиксы для классов событий аудита] приведены доступные префиксы:
 
-Каждый класс аудита можно скомбинировать с префиксом, показывающим, какие операции будут учитываться - удачные или неудачные, а также то, включает ли данная запись аудит для данного класса и типа, либо отключает его. <<event-prefixes>> обобщает доступные префиксы:
 [[event-prefixes]]
-.Префиксы классов аудита событий
+.Префиксы для классов событий аудита
 [cols="1,1", frame="none", options="header"]
 |===
 | Префикс
 | Действие
 
 |+
-|Аудит успешных событий в данном классе.
+|Аудит успешных событий в этом классе.
 
 |-
-|Аудит ошибочных событий в данном классе.
+|Аудит неудачных событий в этом классе.
 
 |^
-|Отключение аудита как успешных, так и ошибочных событий в данном классе.
+|Не аудировать ни успешные, ни неудачные события в этом классе.
 
 |^+
-|Отключение аудита успешных событий в данном классе.
+|Не аудировать успешные события в данном классе.
 
 |^-
-|Отключение аудита ошибочных событий в данном классе.
+|Не аудировать неудачные события в этом классе.
 |===
 
-Если префикс не указан, то аудиту подлежат как успешные, так и неуспешные события.
+Если префикс отсутствует, будут аудироваться как успешные, так и неудачные экземпляры события.
 
-Следующий пример выбирает успешные и неуспешные события входа в систему и выхода из нее, и только успешные события выполнения приложения:
+Следующая строка выбора выбирает как успешные, так и неудачные события входа/выхода, но только успешные события выполнения:
 
 [.programlisting]
 ....
 lo,+ex
 ....
 
-=== Конфигурационные файлы
+=== Файлы конфигурации
 
-В каталоге [.filename]#/etc/security# находятся следующие конфигурационные файлы системы аудита:
+В каталоге [.filename]#/etc/security# находятся следующие файлы конфигурации для аудита событий безопасности:
 
 * [.filename]#audit_class#: содержит определения классов аудита.
-* [.filename]#audit_control#: контроллирует некоторые аспекты системы аудита, такие как классы по умолчанию, минимальное дисковое пространство, которое должно оставаться на разделе журнала аудита, максимальный размер журнала аудита.
-*
-+ 
-[.filename]#audit_event#: связывает идентификаторы событий (eventnum) с их текстовыми именами, описаниями и классами событий.
-* [.filename]#audit_user#: уточняет настройки аудита для конкретных пользователей; они комбинируются с глобальными настройками при входе пользователя в систему.
-* [.filename]#audit_warn#: настраиваемый скрипт командного интерпретатора, который вызывается man:auditd[8] для генерации предупреждений в исключительных ситуациях, таких как исчерпание дискового пространства записями аудита или при ротации журнала аудита.
+* [.filename]#audit_control#: управляет аспектами подсистемы аудита, такими как классы аудита по умолчанию, минимальное свободное место на томе с журналом аудита и максимальный размер журнала аудита.
+* [.filename]#audit_event#: текстовые названия и описания системных событий аудита, а также список классов, к которым относится каждое событие.
+* [.filename]#audit_user#: пользовательские требования аудита, которые объединяются с глобальными настройками по умолчанию при входе в систему.
+* [.filename]#audit_warn#: настраиваемый сценарий оболочки, используемый man:auditd[8] для генерации предупреждающих сообщений в исключительных ситуациях, например, когда заканчивается место для записей аудита или когда файл журнала аудита был перезаписан.
 
 [WARNING]
 ====
-
-Файлы конфигурации аудита должны редактироваться и изменяться с осторожностью, так как ошибки в конфигурации могут привести к сохранению бесполезных записей.
+Файлы конфигурации аудита следует редактировать и поддерживать тщательно, так как ошибки в конфигурации могут привести к некорректной записи событий.
 ====
 
-В большинстве случаев администратору придется вносить изменения только в два конфигурационных файла системы аудита: [.filename]#audit_control# и [.filename]#audit_user#. Первый из них содержит общие настройки системы аудита, второй может использоваться для уточнения настроек аудита для конкретных пользователей.
+В большинстве случаев администраторам потребуется изменить только файлы [.filename]#audit_control# и [.filename]#audit_user#. Первый файл управляет системными настройками и политиками аудита, а второй может использоваться для тонкой настройки аудита по пользователям.
 
 [[audit-auditcontrol]]
 ==== Файл [.filename]#audit_control#
 
-Ниже приведен перечень настроек по умолчанию, содержащихся в [.filename]#audit_control#:
+Некоторые параметры подсистемы аудита по умолчанию указаны в файле [.filename]#audit_control#:
 
 [.programlisting]
 ....
@@ -278,28 +277,28 @@ filesz:2M
 expire-after:10M
 ....
 
-Запись `dir` используется для установки одного или более каталогов, в которых будет сохраняться журнал системы аудита. Если указан более чем один каталог, то указанные каталоги будут использоваться по очереди, по мере заполнения. Как правило, система аудита настраивается на хранение журнала аудита на отдельном разделе, чтобы предотвратить взаимное влияние подсистемы аудита и остальных подсистем в случае исчерпания свободного места на разделе.
+Запись `dir` используется для указания одного или нескольких каталогов, в которых будут храниться журналы аудита. Если указано несколько каталогов, они будут использоваться по очереди по мере заполнения. Обычно настраивают аудит так, чтобы журналы хранились на выделенной файловой системе — это предотвращает конфликты между подсистемой аудита и другими подсистемами при заполнении файловой системы.
 
-Если опция `dist` имеет значение `on` или `yes`, то для всех журналов аудита будут создаваться жесткие ссылки, сохраняемые в [.filename]#/var/audit/dist#.
+Если поле `dist` установлено в `on` или `yes`, жесткие ссылки будут созданы для всех файлов журнала в [.filename]#/var/audit/dist#.
 
-Запись `flags` используется для установки глобальной маски предварительного выбора для приписываемых событий. В примере выше аудиту будут подвергаться как успешные, так и неудачные попытки входа в систему и выхода из нее, а также - аутентификация и авторизация для всех пользователей.
+Поле `flags` устанавливает системную маску предварительного выбора по умолчанию для учитываемых событий. В приведённом примере аудиту подлежат успешные и неудачные события входа/выхода, а также аутентификация и авторизация для всех пользователей.
 
-Запись `minfree` определяет минимальное количество свободного дискового пространства на разделе, в который сохраняются файлы журналов аудита.
+Запись `minfree` определяет минимальный процент свободного места в файловой системе, где хранится журнал аудита.
 
-Запись `naflags` определяет классы аудита для неприписываемых событий, например, процессов входа в систему и системных демонов.
+Запись `naflags` определяет классы аудита для событий без атрибутов, таких как процесс входа/выхода, аутентификация и авторизация.
 
-Запись `policy` определяет разделяемый запятыми список флагов политики, определяющей различные аспекты поведения аудита. Флаг `cnt` указывает, что система должна продолжать работать, несмотря на ошибки аудита (данный флаг настоятельно рекомендуется). Второй флаг, `argv`, заставляет подвергать аудиту аргументы командной строки при вызове системного вызова man:execve[2].
+Запись `policy` определяет список флагов политики, разделённых запятыми, которые контролируют различные аспекты поведения аудита. Флаг `cnt` указывает, что система должна продолжать работу, несмотря на сбой аудита (этот флаг настоятельно рекомендуется). Другой флаг, `argv`, приводит к аудиту аргументов командной строки системного вызова man:execve[2] как части выполнения команды.
 
-Запись `filesz` определяет максимальный размер журнала событий аудита, по достижении которого журнал будет автоматически закончен и подвергнут ротации. Значение `0` запрещает автоматическую ротацию логов. Если указанный размер ниже минимального значения 512К, то он будет проигнорирован, и будет сгенерировано предупреждающее сообщение в логах.
+`filesz` указывает максимальный размер файла аудита перед автоматическим завершением и ротацией файла. Значение `0` отключает автоматическую ротацию логов. Если запрашиваемый размер файла меньше минимального значения в 512k, он будет проигнорирован, и будет сгенерировано сообщение в логе.
 
-Поле `expire-after` определяет момент времени, при достижении которого журнальные файлы считаются неактуальными и удаляются.
+Поле `expire-after` указывает, когда файлы журналов аудита устареют и будут удалены.
 
 [[audit-audituser]]
 ==== Файл [.filename]#audit_user#
 
-Администратор может определить дополнительные требования к аудиту для конкретных пользователей в файле [.filename]#audit_user#. Каждая строка позволяет уточнить настройки аудита для пользователя при помощи двух полей: `alwaysaudit` - определяющее набор событий, которые должны всегда подвергаться аудиту для данного пользователя, и `neveraudit` - перечисляющее набор событий, которые никогда не должны подвергаться аудиту для пользователя.
+Администратор может указать дополнительные требования аудита для конкретных пользователей в файле [.filename]#audit_user#. Каждая строка настраивает аудит для пользователя с помощью двух полей: поле `alwaysaudit` определяет набор событий, которые всегда должны аудироваться для пользователя, а поле `neveraudit` определяет набор событий, которые никогда не должны аудироваться для пользователя.
 
-Нижеследующий пример настраивает аудит всех событий входа в систему, выхода из системы, а также аудит всех успешных выполнений команд для пользователя `root`, а также - аудит всех событий, связанных с созданием файлов и успешным выполнением команд пользователем `www`. С настройками по умолчанию в [.filename]#audit_control# запись `lo` для `root` является избыточной, кроме того, события входа в систему и выхода из системы будут подвергаться аудиту и для пользователя `www`.
+Следующие примеры записей аудита фиксируют события входа/выхода и успешного выполнения команд для пользователя `root`, а также создание файлов и успешное выполнение команд для пользователя `www`. Если используется файл [.filename]#audit_control# по умолчанию, запись `lo` для `root` избыточна, и события входа/выхода также будут фиксироваться для `www`.
 
 [.programlisting]
 ....
@@ -310,18 +309,18 @@ www:fc,+ex:no
 [[audit-administration]]
 == Работа с журналами аудита
 
-Так как журнал аудита хранится в бинарном формате BSM, то для его изменения или перевода в текстовый формат предоставляются встроенные утилиты. Утилита `praudit` преобразует журнал аудита в текстовый формат. Утилита `auditreduce` применяется для фильтрации журнальных записей с целью анализа, архивирования или распечатки. Последняя утилита поддерживает разнообразие параметров, позволяющих выбирать записи по типу события, по классу события, по пользователю, по дате или времени события, по пути к файлу или по объекту, над которым производилось действие.
+Поскольку записи аудита хранятся в двоичном формате BSM, для их изменения или преобразования в текстовый формат доступны встроенные инструменты. Для преобразования файлов записей в простой текстовый формат используйте `praudit`. Для сокращения файла записей аудита с целью анализа, архивирования или печати используйте `auditreduce`. Эта утилита поддерживает различные параметры выбора, включая тип события, класс события, пользователя, дату или время события, а также путь к файлу или объект, над которым выполнялось действие.
 
-Например, для отображения всего содержимого журнала аудита в текстовом формате выполните:
+Например, чтобы вывести всё содержимое указанного журнала аудита в виде обычного текста:
 
-[source,shell]
+[source, shell]
 ....
 # praudit /var/audit/AUDITFILE
 ....
 
-В данном примере _AUDITFILE_ - журнал, который будет выведен в текстовом формате.
+Где _AUDITFILE_ — файл журнала аудита для дампа.
 
-Журнал аудита состоит из серии записей, которые, в свою очередь состоят из элементов, которые команда `praudit` выводит последовательно - по одному на строку. Каждый элемент имеет определенный тип, например `header` (содержит заголовок записи) или `path` (полный путь к файлу). Следующий пример показывает запись для события `execve`:
+Журналы аудита состоят из последовательности записей аудита, сформированных из токенов, которые `praudit` выводит последовательно, по одному на строку. Каждый токен имеет определённый тип, например, `header` (заголовок записи аудита) или `path` (путь к файлу из поиска по имени). Ниже приведён пример события `execve`:
 
 [.programlisting]
 ....
@@ -334,66 +333,65 @@ return,success,0
 trailer,133
 ....
 
-Эта запись отражает результат успешного выполнения системного вызова `execve`, который стал результатом выполнения команды `finger doug`. В элементе записи `exec arg` есть командная строка, которую оболочка передала ядру. Элемент `path` содержит путь к исполняемому файлу в представлении ядра. Элемент `attribute` описывает исполняемый файл, а также права доступа файла. Элемент `subject` описывает ID аудируемого пользователя, исполняющие (effective) UID и GID, реальные ID пользователя и группы, идентификатор процесса, идентификатор сессии, порт и адрес, с которого был осуществлен вход в систему. Обратите внимание: идентификатор аудируемого пользователя и реальный идентификатор пользователя отличаются, так как пользователь `robert` повысил привилегии до пользователя `root` перед выполнением команды, но система аудита занесла его действия в журнал используя изначальный идентификатор. Элемент `return` описывает успешное выполнение операции, а элемент `trailer` завершает запись.
+Этот аудит представляет успешный вызов `execve`, в котором была выполнена команда `finger doug`. Токен `exec arg` содержит обработанную командную строку, переданную оболочкой ядру. Токен `path` содержит путь к исполняемому файлу, найденный ядром. Токен `attribute` описывает бинарный файл и включает режим файла. Токен `subject` хранит аудитный идентификатор пользователя, эффективные идентификаторы пользователя и группы, реальные идентификаторы пользователя и группы, идентификатор процесса, идентификатор сессии, идентификатор порта и адрес входа. Обратите внимание, что аудитный идентификатор пользователя и реальный идентификатор пользователя различаются, так как пользователь `robert` переключился на учетную запись `root` перед выполнением этой команды, но аудит ведется с использованием исходного аутентифицированного пользователя. Токен `return` указывает на успешное выполнение, а `trailer` завершает запись.
 
-Указав аргумент `-x` можно получить вывод в формате XML.
+Также поддерживается формат вывода XML, и он может быть выбран добавлением опции `-x`.
 
-Поскольку логи системы аудита могут иметь огромный размер, возможно выделить только часть записей при помощи `auditreduce`. В следующем примере из [.filename]#AUDITFILE# выбираются все записи, касающиеся пользователя `trhodes`:
+Поскольку журналы аудита могут быть очень большими, можно выбрать подмножество записей с помощью `auditreduce`. В этом примере выбираются все записи аудита, созданные для пользователя `trhodes`, хранящиеся в [.filename]#AUDITFILE#:
 
-[source,shell]
+[source, shell]
 ....
 # auditreduce -u trhodes /var/audit/AUDITFILE | praudit
 ....
 
-Члены группы `audit` имеют доступ на чтение к журналу аудита, находящемуся в [.filename]#/var/audit#. По умолчанию эта группа пуста, и только `root` имеет к ним доступ. Для того, чтобы дать пользователю права на чтение журнала, его необходимо добавить в группу `audit`. Право на чтение журнала аудита позволяет получить множество информации о поведении пользователей и процессов, поэтому рекомендуется делегировать права на чтение журнала аудита с большой осторожностью.
+Участники группы `audit` имеют право читать журналы аудита в [.filename]#/var/audit#. По умолчанию эта группа пуста, поэтому только пользователь `root` может читать журналы аудита. Пользователи могут быть добавлены в группу `audit` для делегирования прав просмотра аудита. Поскольку возможность отслеживать содержимое журналов аудита дает значительное представление о поведении пользователей и процессов, рекомендуется делегировать права просмотра аудита с осторожностью.
 
-=== Мониторинг системы в реальном времени с использованием потоков аудита
+=== Мониторинг в реальном времени с использованием потоков аудита
 
-Потоки системы аудита - клонирующиеся псевдоустройства, позволяющие приложениям просматривать в реальном времени поток событий аудита. В первую очередь, это должно заинтересовать авторов программ определения вторжений и мониторинга системы. Тем не менее, для администратора поток системы аудита предоставляет возможность организовать наблюдение за системой, избежав проблем с правами доступа на журнал аудита или с прерыванием потока событий из-за ротации журнала. Для отслеживания потока событий аудита в реальном времени, выполните:
+Потоки аудитные (audit pipes) являются клонируемыми псевдоустройствами, которые позволяют приложениям получать доступ к потоку записей аудита в реальном времени. В первую очередь это интересно разработчикам систем обнаружения вторжений и мониторинга. Однако аудитное канальное устройство — это удобный способ для администратора организовать мониторинг в реальном времени без проблем с правами владения файлами аудита или прерывания потока событий из-за ротации логов. Для отслеживания живого потока событий аудита:
 
-[source,shell]
+[source, shell]
 ....
 # praudit /dev/auditpipe
 ....
 
-По умолчанию, потоки доступны только пользователю `root`. Чтобы сделать их доступными членам группы `audit`, добавьте правило `devfs` в файл [.filename]#/etc/devfs.rules#:
+По умолчанию узлы устройств потоков аудита доступны только пользователю `root`. Чтобы сделать их доступными для членов группы `audit`, добавьте правило `devfs` в [.filename]#/etc/devfs.rules#:
 
 [.programlisting]
 ....
 add path 'auditpipe*' mode 0440 group audit
 ....
 
-Обратитесь к man:devfs.rules[5] за более полной информацией о настройке файловой системы `devfs`.
+За дополнительной информацией о настройке файловой системы devfs см. man:devfs.rules[5].
 
 [WARNING]
 ====
-
-Довольно легко создать зацикленный поток событий аудита, в котором просмотр каждого события порождает несколько событий аудита. Например, если аудиту подвергаются все операции сетевого ввода-вывода, и команда `praudit` запущена во время SSH-сессии, то будет сгенерирован интенсивный поток сообщений аудита, так как каждое печатаемое событие вызовет еще одно событие. По этой причине рекомендуется запускать `praudit` на устройстве потока только из сессий, для которых нет детального аудита ввода-вывода.
+Легко создать циклы обратной связи с событиями аудита, когда просмотр каждого события аудита приводит к генерации новых событий аудита. Например, если аудируется весь сетевой ввод-вывод, и `praudit` запускается из сессии SSH, будет создаваться непрерывный поток событий аудита с высокой скоростью, так как каждое выводимое событие будет генерировать новое событие. По этой причине рекомендуется запускать `praudit` на устройстве аудит-канала из сеансов без детального аудита ввода-вывода.
 ====
 
-=== Ротация и сжатие журнальных файлов аудита
+=== Ротация и сжатие файлов журнала аудита
 
-Журнал аудита пишется ядром и управляется демоном аудита man:auditd[8]. Администраторам не следует пытаться использовать man:newsyslog.conf[5] или другие инструменты для прямой ротации логов. Вместо этого, для прекращения аудита, реконфигурации и ротации журнальных файлов должна использоваться команда `audit`. Следующая команда приведет к созданию нового журнального файла и даст указание ядру переключиться на запись в этот файл. Протоколирование в старый файл будет прекращено, а сам файл - переименован, в результате чего с ним можно будет работать администратору:
+Журналы аудита создаются ядром и управляются демоном аудита man:auditd[8]. Администраторам не следует пытаться использовать man:newsyslog.conf[5] или другие инструменты для непосредственной ротации журналов аудита. Вместо этого следует использовать `audit` для остановки аудита, переконфигурации системы аудита и выполнения ротации журналов. Следующая команда заставляет демон аудита создать новый журнал аудита и передать ядру сигнал о переходе на использование нового журнала. Старый журнал будет завершен и переименован, после чего администратор может выполнить с ним необходимые действия:
 
-[source,shell]
+[source, shell]
 ....
 # audit -n
 ....
 
-Если man:auditd[8] не запущен, то эта команда окончится неудачей, и будет выведено сообщение об ошибке.
+Если man:auditd[8] в данный момент не запущен, эта команда завершится ошибкой и будет выведено сообщение об ошибке.
 
-Добавление следующей строки в файл [.filename]#/etc/crontab# приведет к ротации каждые двенадцать часов:
+Добавление следующей строки в [.filename]#/etc/crontab# позволит выполнять эту ротацию каждые двенадцать часов:
 
 [.programlisting]
 ....
 0     */12       *       *       *       root    /usr/sbin/audit -n
 ....
 
-Изменения вступят в силу после сохранения файла [.filename]#/etc/crontab#.
+Изменение вступит в силу после сохранения файла [.filename]#/etc/crontab#.
 
-Автоматическая ротация журнальных файлов на основании их размера возможна при использовании опции `filesz` в файле [.filename]#audit_control#, которая описана в <<audit-auditcontrol>>.
+Автоматическая ротация файла журнала аудита на основе размера файла возможна с использованием `filesz` в [.filename]#audit_control#, как описано в crossref:audit[audit-auditcontrol,Файл audit_control].
 
-Поскольку журнальные файлы могут достигать очень больших размеров, может возникнуть необходимость сжимать их в целях хранения сразу же после закрытия их демоном аудита. Для выполнения определенных пользователем действий, соответствующих разнообразным событиям системы аудита, включая нормальное завершение журналов аудита при их ротации, может быть использован скрипт [.filename]#audit_warn#. Например, добавление следующих строк в файл [.filename]#/etc/security/audit_warn# приведет к сжатию файла аудита после его закрытия:
+Поскольку файлы журналов аудита могут становиться очень большими, часто возникает необходимость сжимать или архивировать их после закрытия демоном аудита. Скрипт [.filename]#audit_warn# можно использовать для выполнения пользовательских операций при различных событиях, связанных с аудитом, включая корректное завершение журналов при их ротации. Например, следующее можно добавить в [.filename]#/etc/security/audit_warn# для сжатия журналов аудита после закрытия:
 
 [.programlisting]
 ....
@@ -401,8 +399,8 @@ add path 'auditpipe*' mode 0440 group audit
 # Compress audit trail files on close.
 #
 if [ "$1" = closefile ]; then
-	gzip -9 $2
+        gzip -9 $2
 fi
 ....
 
-Примерами других действий могут быть копирование файлов аудита на централизованный сервер, удаление старых журнальных файлов, фильтрация журнальных файлов для удаления ненужных записей. Скрипт будет запущен только при корректном закрытии журнала системой аудита и не запустится для журнальных файлов, запись в которые была прекращена в результате некорректного завершения.
+Другие действия по архивированию могут включать копирование файлов журналов на централизованный сервер, удаление старых файлов журналов или сокращение журнала аудита для удаления ненужных записей. Этот скрипт будет выполняться только тогда, когда файлы журналов аудита корректно завершены. Он не будет выполняться для журналов, оставшихся незавершёнными после некорректного завершения работы.
diff --git a/documentation/content/ru/books/handbook/audit/_index.po b/documentation/content/ru/books/handbook/audit/_index.po
new file mode 100644
index 0000000000..b001ed8a13
--- /dev/null
+++ b/documentation/content/ru/books/handbook/audit/_index.po
@@ -0,0 +1,1478 @@
+# SOME DESCRIPTIVE TITLE
+# Copyright (C) YEAR The FreeBSD Project
+# This file is distributed under the same license as the FreeBSD Documentation package.
+# Vladlen Popolitov <vladlenpopolitov@list.ru>, 2025.
+msgid ""
+msgstr ""
+"Project-Id-Version: FreeBSD Documentation VERSION\n"
+"POT-Creation-Date: 2025-10-20 11:02+0300\n"
+"PO-Revision-Date: 2025-09-26 04:45+0000\n"
+"Last-Translator: Vladlen Popolitov <vladlenpopolitov@list.ru>\n"
+"Language-Team: Russian <https://translate-dev.freebsd.org/projects/"
+"documentation/bookshandbookaudit_index/ru/>\n"
+"Language: ru\n"
+"MIME-Version: 1.0\n"
+"Content-Type: text/plain; charset=UTF-8\n"
+"Content-Transfer-Encoding: 8bit\n"
+"Plural-Forms: nplurals=3; plural=n%10==1 && n%100!=11 ? 0 : n%10>=2 && "
+"n%10<=4 && (n%100<10 || n%100>=20) ? 1 : 2;\n"
+"X-Generator: Weblate 4.17\n"
+
+#. type: Yaml Front Matter Hash Value: description
+#: documentation/content/en/books/handbook/audit/_index.adoc:1
+#, no-wrap
+msgid "FreeBSD security event auditing supports reliable, fine-grained, and configurable logging of a variety of security-relevant system events, including logins, configuration changes, and file and network access"
+msgstr "В FreeBSD поддерживается аудит событий безопасности, обеспечивающий надежное, детализированное и настраиваемое журналирование различных системных событий, связанных с безопасностью, включая входы в систему, изменения конфигурации, а также доступ к файлам и сети"
+
+#. type: Yaml Front Matter Hash Value: part
+#: documentation/content/en/books/handbook/audit/_index.adoc:1
+#, no-wrap
+msgid "Part III. System Administration"
+msgstr "Часть III. Администрирование системы"
+
+#. type: Yaml Front Matter Hash Value: title
+#: documentation/content/en/books/handbook/audit/_index.adoc:1
+#, no-wrap
+msgid "Chapter 19. Security Event Auditing"
+msgstr "Глава 19. Аудит событий безопасности"
+
+#. type: Title =
+#: documentation/content/en/books/handbook/audit/_index.adoc:15
+#, no-wrap
+msgid "Security Event Auditing"
+msgstr "Аудит событий безопасности"
+
+#. type: Title ==
+#: documentation/content/en/books/handbook/audit/_index.adoc:53
+#, no-wrap
+msgid "Synopsis"
+msgstr "Обзор"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:59
+msgid ""
+"The FreeBSD operating system includes support for security event auditing.  "
+"Event auditing supports reliable, fine-grained, and configurable logging of "
+"a variety of security-relevant system events, including logins, "
+"configuration changes, and file and network access.  These log records can "
+"be invaluable for live system monitoring, intrusion detection, and "
+"postmortem analysis.  FreeBSD implements Sun(TM)'s published Basic Security "
+"Module (BSM) Application Programming Interface (API) and file format, and is "
+"interoperable with the Solaris(TM) and Mac OS(R) X audit implementations."
+msgstr ""
+"Операционная система FreeBSD включает поддержку аудита событий безопасности. "
+"Аудит событий обеспечивает надежное, детализированное и настраиваемое "
+"журналирование различных системных событий, связанных с безопасностью, "
+"включая входы в систему, изменения конфигурации, доступ к файлам и сети. Эти "
+"записи журнала могут быть неоценимыми для мониторинга системы в реальном "
+"времени, обнаружения вторжений и \"посмертного\" анализа после краха "
+"системы. FreeBSD реализует опубликованный Sun(TM) программный интерфейс "
+"Basic Security Module (BSM) и формат файлов, и также совместима с "
+"реализациями аудита Solaris(TM) и Mac OS(R) X."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:62
+msgid ""
+"This chapter focuses on the installation and configuration of event "
+"auditing.  It explains audit policies and provides an example audit "
+"configuration."
+msgstr ""
+"Эта глава посвящена установке и настройке аудита событий. В ней объясняются "
+"политики аудита и приводится пример конфигурации аудита."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:64
+msgid "After reading this chapter, you will know:"
+msgstr "Прочитав эту главу, вы будете знать:"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:66
+msgid "What event auditing is and how it works."
+msgstr "Что такое аудит событий и как он работает."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:67
+msgid "How to configure event auditing on FreeBSD for users and processes."
+msgstr "Как настроить аудит событий в FreeBSD для пользователей и процессов."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:68
+msgid ""
+"How to review the audit trail using the audit reduction and review tools."
+msgstr ""
+"Как просмотреть журнал аудита с использованием инструментов сокращения и "
+"просмотра аудита."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:70
+msgid "Before reading this chapter, you should:"
+msgstr "Прежде чем читать эту главу, вы должны:"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:72
+msgid ""
+"Understand UNIX(R) and FreeBSD basics (crossref:basics[basics,FreeBSD "
+"Basics])."
+msgstr ""
+"Понимать основы UNIX(R) и FreeBSD (crossref:basics[basics,Основы FreeBSD])."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:73
+msgid ""
+"Be familiar with the basics of kernel configuration/compilation "
+"(crossref:kernelconfig[kernelconfig,Configuring the FreeBSD Kernel])."
+msgstr ""
+"Быть знакомым с основами настройки и компиляции ядра "
+"(crossref:kernelconfig[kernelconfig,Настройка ядра FreeBSD])."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:74
+msgid ""
+"Have some familiarity with security and how it pertains to FreeBSD "
+"(crossref:security[security,Security])."
+msgstr ""
+"Иметь некоторое представление о безопасности и о том, как она относится к "
+"FreeBSD (crossref:security[security,Безопасность])."
+
+#. type: delimited block = 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:79
+msgid ""
+"The audit facility has some known limitations.  Not all security-relevant "
+"system events are auditable and some login mechanisms, such as Xorg-based "
+"display managers and third-party daemons, do not properly configure auditing "
+"for user login sessions."
+msgstr ""
+"У системы аудита есть несколько известных ограничений. Не все связанные с "
+"безопасностью системные события подлежат аудиту, а некоторые механизмы "
+"входа, такие как дисплейные менеджеры на основе Xorg и сторонние демоны, не "
+"настраивают аудит для сеансов пользовательского входа должным образом."
+
+#. type: delimited block = 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:84
+msgid ""
+"The security event auditing facility is able to generate very detailed logs "
+"of system activity.  On a busy system, trail file data can be very large "
+"when configured for high detail, exceeding gigabytes a week in some "
+"configurations.  Administrators should take into account the disk space "
+"requirements associated with high volume audit configurations.  For example, "
+"it may be desirable to dedicate a file system to [.filename]#/var/audit# so "
+"that other file systems are not affected if the audit file system becomes "
+"full."
+msgstr ""
+"Система аудита событий безопасности способна создавать очень подробные "
+"журналы активности системы. На загруженной системе данные файлов журналов "
+"могут быть очень большими при настройке высокой детализации, в некоторых "
+"конфигурациях превышая гигабайты в неделю. Администраторы должны учитывать "
+"требования к дисковому пространству, связанные с конфигурациями аудита с "
+"высоким объемом данных. Например, может быть целесообразно выделить "
+"отдельную файловую систему для [.filename]#/var/audit#, чтобы другие "
+"файловые системы не пострадали, если файловая система аудита переполнится."
+
+#. type: Title ==
+#: documentation/content/en/books/handbook/audit/_index.adoc:87
+#, no-wrap
+msgid "Key Terms"
+msgstr "Ключевые термины"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:90
+msgid "The following terms are related to security event auditing:"
+msgstr "Следующие термины связаны с аудитом событий безопасности:"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:92
+msgid ""
+"_event_: an auditable event is any event that can be logged using the audit "
+"subsystem. Examples of security-relevant events include the creation of a "
+"file, the building of a network connection, or a user logging in. Events are "
+"either \"attributable\", meaning that they can be traced to an authenticated "
+"user, or \"non-attributable\". Examples of non-attributable events are any "
+"events that occur before authentication in the login process, such as bad "
+"password attempts."
+msgstr ""
+"_событие (event)_: аудируемое событие — это любое событие, которое может "
+"быть зарегистрировано с помощью подсистемы аудита. Примерами событий, "
+"связанных с безопасностью, являются создание файла, установка сетевого "
+"соединения или вход пользователя в систему. События могут быть "
+"\"приписываемые\", то есть их можно отследить до аутентифицированного "
+"пользователя, или \"неприписываемые\". Примерами неприписываемых событий "
+"являются любые события, происходящие до аутентификации в процессе входа в "
+"систему, например, неудачные попытки ввода пароля."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:93
+msgid ""
+"_class_: a named set of related events which are used in selection "
+"expressions. Commonly used classes of events include \"file creation\" (fc), "
+"\"exec\" (ex), and \"login_logout\" (lo)."
+msgstr ""
+"_класс (class)_: именованный набор связанных событий, используемых в "
+"выражениях выбора. Распространённые классы событий включают \"создание "
+"файла\" (fc), \"выполнение\" (ex) и \"вход/выход\" (lo)."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:94
+msgid ""
+"_record_: an audit log entry describing a security event. Records contain a "
+"record event type, information on the subject (user) performing the action, "
+"date and time information, information on any objects or arguments, and a "
+"success or failure condition."
+msgstr ""
+"_запись (record)_: запись в журнале аудита, описывающая событие "
+"безопасности. Записи содержат тип события, информацию о субъекте "
+"(пользователе), выполняющем действие, данные о дате и времени, информацию об "
+"объектах или аргументах, а также указание на успешность или неудачу "
+"выполнения."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:95
+msgid ""
+"_trail_: a log file consisting of a series of audit records describing "
+"security events. Trails are in roughly chronological order with respect to "
+"the time events completed. Only authorized processes are allowed to commit "
+"records to the audit trail."
+msgstr ""
+"_журнал (trail)_: файл журнала, состоящий из серии записей аудита, "
+"описывающих события безопасности. Записи в журнале расположены в "
+"приблизительном хронологическом порядке относительно времени завершения "
+"событий. Только авторизованные процессы имеют право добавлять записи в "
+"журнал аудита."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:96
+msgid ""
+"_selection expression_: a string containing a list of prefixes and audit "
+"event class names used to match events."
+msgstr ""
+"_выражение выбора (selection expression)_: строка, содержащая список "
+"префиксов и имен классов событий аудита, используемых для сопоставления "
+"событий."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:97
+msgid ""
+"_preselection_: the process by which the system identifies which events are "
+"of interest to the administrator. The preselection configuration uses a "
+"series of selection expressions to identify which classes of events to audit "
+"for which users, as well as global settings that apply to both authenticated "
+"and unauthenticated processes."
+msgstr ""
+"_предварительный выбор (preselection)_: процесс, в ходе которого система "
+"определяет, какие события представляют интерес для администратора. "
+"Конфигурация предварительного отбора использует ряд выражений выбора для "
+"определения классов событий, подлежащих аудиту для конкретных пользователей, "
+"а также глобальные настройки, применяемые как к авторизованным, так и к "
+"неавторизованным процессам."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:98
+msgid ""
+"_reduction_: the process by which records from existing audit trails are "
+"selected for preservation, printing, or analysis. Likewise, the process by "
+"which undesired audit records are removed from the audit trail. Using "
+"reduction, administrators can implement policies for the preservation of "
+"audit data. For example, detailed audit trails might be kept for one month, "
+"but after that, trails might be reduced in order to preserve only login "
+"information for archival purposes."
+msgstr ""
+"_фильтрация (reduction)_: процесс выбора записей из существующих журналов "
+"аудита для сохранения, печати или анализа. Аналогично, процесс удаления "
+"нежелательных записей аудита из журнала. Используя сокращение, "
+"администраторы могут реализовать политики сохранения данных аудита. "
+"Например, детальные журналы аудита могут храниться в течение одного месяца, "
+"но после этого они могут быть сокращены, чтобы сохранить только информацию о "
+"входах в систему для архивных целей."
+
+#. type: Title ==
+#: documentation/content/en/books/handbook/audit/_index.adoc:100
+#, no-wrap
+msgid "Audit Configuration"
+msgstr "Настройка аудита"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:104
+msgid ""
+"User space support for event auditing is installed as part of the base "
+"FreeBSD operating system.  Kernel support is available in the "
+"[.filename]#GENERIC# kernel by default, and man:auditd[8] can be enabled by "
+"adding the following line to [.filename]#/etc/rc.conf#:"
+msgstr ""
+"Поддержка аудита событий в пользовательском пространстве устанавливается как "
+"часть базовой операционной системы FreeBSD. Поддержка на уровне ядра "
+"доступна в ядре [.filename]#GENERIC# по умолчанию, и man:auditd[8] может "
+"быть включен добавлением следующей строки в [.filename]#/etc/rc.conf#:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:108
+#, no-wrap
+msgid "auditd_enable=\"YES\"\n"
+msgstr "auditd_enable=\"YES\"\n"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:111
+msgid "Then, start the audit daemon:"
+msgstr "Затем запустите демон аудита:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:115
+#, no-wrap
+msgid "# service auditd start\n"
+msgstr "# service auditd start\n"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:118
+msgid ""
+"Users who prefer to compile a custom kernel must include the following line "
+"in their custom kernel configuration file:"
+msgstr ""
+"Пользователи, предпочитающие компилировать собственное ядро, должны включить "
+"следующую строку в файл конфигурации своего ядра:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:122
+#, no-wrap
+msgid "options\tAUDIT\n"
+msgstr "options\tAUDIT\n"
+
+#. type: Title ===
+#: documentation/content/en/books/handbook/audit/_index.adoc:124
+#, no-wrap
+msgid "Event Selection Expressions"
+msgstr "Выражения выбора событий"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:129
+msgid ""
+"Selection expressions are used in a number of places in the audit "
+"configuration to determine which events should be audited.  Expressions "
+"contain a list of event classes to match.  Selection expressions are "
+"evaluated from left to right, and two expressions are combined by appending "
+"one onto the other."
+msgstr ""
+"Выражения выбора используются в нескольких местах конфигурации аудита для "
+"определения, какие события должны аудироваться. Выражения содержат список "
+"классов событий для сопоставления. Выражения выбора вычисляются слева "
+"направо, а два выражения объединяются путем добавления одного к другому."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:131
+msgid ""
+"crossref:audit[event-selection,Default Audit Event Classes] summarizes the "
+"default audit event classes:"
+msgstr ""
+"crossref:audit[event-selection,Классы событий аудита по умолчанию] содержит "
+"сводку классов событий аудита по умолчанию:"
+
+#. type: Block title
+#: documentation/content/en/books/handbook/audit/_index.adoc:133
+#, no-wrap
+msgid "Default Audit Event Classes"
+msgstr "Классы событий аудита по умолчанию"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:137
+#, no-wrap
+msgid "Class Name"
+msgstr "Имя класса"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:138
+#, no-wrap
+msgid "Description"
+msgstr "Описание"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:140
+#: documentation/content/en/books/handbook/audit/_index.adoc:233
+#, no-wrap
+msgid "Action"
+msgstr "Действие"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:141
+#: documentation/content/en/books/handbook/audit/_index.adoc:142
+#, no-wrap
+msgid "all"
+msgstr "all"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:144
+#, no-wrap
+msgid "Match all event classes."
+msgstr "Совпадает со всеми классами событий."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:145
+#, no-wrap
+msgid "aa"
+msgstr "aa"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:146
+#, no-wrap
+msgid "authentication and authorization"
+msgstr "authentication and authorization"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:149
+#, no-wrap
+msgid "ad"
+msgstr "ad"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:150
+#, no-wrap
+msgid "administrative"
+msgstr "administrative"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:152
+#, no-wrap
+msgid "Administrative actions performed on the system as a whole."
+msgstr "Административные действия, выполняемые с системой в целом."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:153
+#, no-wrap
+msgid "ap"
+msgstr "ap"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:154
+#, no-wrap
+msgid "application"
+msgstr "application"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:156
+#, no-wrap
+msgid "Application defined action."
+msgstr "Определенное приложением действие."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:157
+#, no-wrap
+msgid "cl"
+msgstr "cl"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:158
+#, no-wrap
+msgid "file close"
+msgstr "file close"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:160
+#, no-wrap
+msgid "Audit calls to the `close` system call."
+msgstr "Аудит вызовов системного вызова `close`."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:161
+#, no-wrap
+msgid "ex"
+msgstr "ex"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:162
+#, no-wrap
+msgid "exec"
+msgstr "exec"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:164
+#, no-wrap
+msgid "Audit program execution. Auditing of command line arguments and environmental variables is controlled via man:audit_control[5] using the `argv` and `envv` parameters to the `policy` setting."
+msgstr "Аудит выполнения программ. Аудит аргументов командной строки и переменных окружения контролируется через man:audit_control[5] с использованием параметров `argv` и `envv` в настройке `policy`."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:165
+#, no-wrap
+msgid "fa"
+msgstr "fa"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:166
+#, no-wrap
+msgid "file attribute access"
+msgstr "file attribute access"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:168
+#, no-wrap
+msgid "Audit the access of object attributes such as man:stat[1] and man:pathconf[2]."
+msgstr "Аудит доступа к атрибутам объектов, таким как man:stat[1] и man:pathconf[2]."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:169
+#, no-wrap
+msgid "fc"
+msgstr "fc"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:170
+#, no-wrap
+msgid "file create"
+msgstr "file create"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:172
+#, no-wrap
+msgid "Audit events where a file is created as a result."
+msgstr "События аудита, в результате которых создается файл."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:173
+#, no-wrap
+msgid "fd"
+msgstr "fd"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:174
+#, no-wrap
+msgid "file delete"
+msgstr "file delete"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:176
+#, no-wrap
+msgid "Audit events where file deletion occurs."
+msgstr "Аудит событий, в которых происходит удаление файлов."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:177
+#, no-wrap
+msgid "fm"
+msgstr "fm"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:178
+#, no-wrap
+msgid "file attribute modify"
+msgstr "file attribute modify"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:180
+#, no-wrap
+msgid "Audit events where file attribute modification occurs, such as by man:chown[8], man:chflags[1], and man:flock[2]."
+msgstr "События аудита, связанные с изменением атрибутов файлов, например, с помощью man:chown[8], man:chflags[1] и man:flock[2]."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:181
+#, no-wrap
+msgid "fr"
+msgstr "fr"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:182
+#, no-wrap
+msgid "file read"
+msgstr "file read"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:184
+#, no-wrap
+msgid "Audit events in which data is read or files are opened for reading."
+msgstr "События аудита, в которых данные читаются или файлы открываются для чтения."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:185
+#, no-wrap
+msgid "fw"
+msgstr "fw"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:186
+#, no-wrap
+msgid "file write"
+msgstr "file write"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:188
+#, no-wrap
+msgid "Audit events in which data is written or files are written or modified."
+msgstr "События аудита, в которых данные записываются или файлы создаются либо изменяются."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:189
+#, no-wrap
+msgid "io"
+msgstr "io"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:190
+#, no-wrap
+msgid "ioctl"
+msgstr "ioctl"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:192
+#, no-wrap
+msgid "Audit use of the `ioctl` system call."
+msgstr "Контроль использования системного вызова `ioctl`."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:193
+#, no-wrap
+msgid "ip"
+msgstr "ip"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:194
+#, no-wrap
+msgid "ipc"
+msgstr "ipc"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:196
+#, no-wrap
+msgid "Audit various forms of Inter-Process Communication, including POSIX pipes and System V IPC operations."
+msgstr "Аудит различных форм межпроцессного взаимодействия, включая POSIX-каналы и операции System V IPC."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:197
+#, no-wrap
+msgid "lo"
+msgstr "lo"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:198
+#, no-wrap
+msgid "login_logout"
+msgstr "login_logout"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:200
+#, no-wrap
+msgid "Audit man:login[1] and man:logout[1] events."
+msgstr "Audit man:login[1] и man:logout[1] события."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:201
+#, no-wrap
+msgid "na"
+msgstr "na"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:202
+#, no-wrap
+msgid "non attributable"
+msgstr "non attributable"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:204
+#, no-wrap
+msgid "Audit non-attributable events."
+msgstr "Аудит неприписываемых событий."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:205
+#, no-wrap
+msgid "no"
+msgstr "no"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:206
+#, no-wrap
+msgid "invalid class"
+msgstr "ошибочный класс"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:208
+#, no-wrap
+msgid "Match no audit events."
+msgstr "Не соответствует ни одному событию аудита."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:209
+#, no-wrap
+msgid "nt"
+msgstr "nt"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:210
+#, no-wrap
+msgid "network"
+msgstr "network"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:212
+#, no-wrap
+msgid "Audit events related to network actions such as man:connect[2] and man:accept[2]."
+msgstr "События аудита, связанные с сетевыми действиями, такими как man:connect[2] и man:accept[2]."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:213
+#, no-wrap
+msgid "ot"
+msgstr "ot"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:214
+#, no-wrap
+msgid "other"
+msgstr "other"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:216
+#, no-wrap
+msgid "Audit miscellaneous events."
+msgstr "Аудит различных событий."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:217
+#, no-wrap
+msgid "pc"
+msgstr "pc"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:218
+#, no-wrap
+msgid "process"
+msgstr "process"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:219
+#, no-wrap
+msgid "Audit process operations such as man:exec[3] and man:exit[3]."
+msgstr "Аудит операций процессов, таких как man:exec[3] и man:exit[3]."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:222
+msgid ""
+"These audit event classes may be customized by modifying the "
+"[.filename]#audit_class# and [.filename]#audit_event# configuration files."
+msgstr ""
+"Эти классы событий аудита могут быть настроены путем изменения "
+"конфигурационных файлов [.filename]#audit_class# и [.filename]#audit_event#."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:225
+msgid ""
+"Each audit event class may be combined with a prefix indicating whether "
+"successful/failed operations are matched, and whether the entry is adding or "
+"removing matching for the class and type.  crossref:audit[event-"
+"prefixes,Prefixes for Audit Event Classes] summarizes the available prefixes:"
+msgstr ""
+"Каждый класс событий аудита может быть объединен с префиксом, указывающим, "
+"соответствуют ли успешные/неудачные операции, и добавляется или удаляется "
+"запись для соответствия классу и типу. В crossref:audit[event-"
+"prefixes,Префиксы для классов событий аудита] приведены доступные префиксы:"
+
+#. type: Block title
+#: documentation/content/en/books/handbook/audit/_index.adoc:227
+#, no-wrap
+msgid "Prefixes for Audit Event Classes"
+msgstr "Префиксы для классов событий аудита"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:231
+#, no-wrap
+msgid "Prefix"
+msgstr "Префикс"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:234
+#, no-wrap
+msgid "+"
+msgstr "+"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:236
+#, no-wrap
+msgid "Audit successful events in this class."
+msgstr "Аудит успешных событий в этом классе."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:237
+#, no-wrap
+msgid "-"
+msgstr "-"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:239
+#, no-wrap
+msgid "Audit failed events in this class."
+msgstr "Аудит неудачных событий в этом классе."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:240
+#, no-wrap
+msgid "^"
+msgstr "^"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:242
+#, no-wrap
+msgid "Audit neither successful nor failed events in this class."
+msgstr "Не аудировать ни успешные, ни неудачные события в этом классе."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:243
+#, no-wrap
+msgid "^+"
+msgstr "^+"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:245
+#, no-wrap
+msgid "Do not audit successful events in this class."
+msgstr "Не аудировать успешные события в данном классе."
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:246
+#, no-wrap
+msgid "^-"
+msgstr "^-"
+
+#. type: Table
+#: documentation/content/en/books/handbook/audit/_index.adoc:247
+#, no-wrap
+msgid "Do not audit failed events in this class."
+msgstr "Не аудировать неудачные события в этом классе."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:250
+msgid ""
+"If no prefix is present, both successful and failed instances of the event "
+"will be audited."
+msgstr ""
+"Если префикс отсутствует, будут аудироваться как успешные, так и неудачные "
+"экземпляры события."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:252
+msgid ""
+"The following example selection string selects both successful and failed "
+"login/logout events, but only successful execution events:"
+msgstr ""
+"Следующая строка выбора выбирает как успешные, так и неудачные события входа/"
+"выхода, но только успешные события выполнения:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:256
+#, no-wrap
+msgid "lo,+ex\n"
+msgstr "lo,+ex\n"
+
+#. type: Title ===
+#: documentation/content/en/books/handbook/audit/_index.adoc:258
+#, no-wrap
+msgid "Configuration Files"
+msgstr "Файлы конфигурации"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:261
+msgid ""
+"The following configuration files for security event auditing are found in "
+"[.filename]#/etc/security#:"
+msgstr ""
+"В каталоге [.filename]#/etc/security# находятся следующие файлы конфигурации "
+"для аудита событий безопасности:"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:263
+msgid ""
+"[.filename]#audit_class#: contains the definitions of the audit classes."
+msgstr "[.filename]#audit_class#: содержит определения классов аудита."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:264
+msgid ""
+"[.filename]#audit_control#: controls aspects of the audit subsystem, such as "
+"default audit classes, minimum disk space to leave on the audit log volume, "
+"and maximum audit trail size."
+msgstr ""
+"[.filename]#audit_control#: управляет аспектами подсистемы аудита, такими "
+"как классы аудита по умолчанию, минимальное свободное место на томе с "
+"журналом аудита и максимальный размер журнала аудита."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:265
+msgid ""
+"[.filename]#audit_event#: textual names and descriptions of system audit "
+"events and a list of which classes each event is in."
+msgstr ""
+"[.filename]#audit_event#: текстовые названия и описания системных событий "
+"аудита, а также список классов, к которым относится каждое событие."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:266
+msgid ""
+"[.filename]#audit_user#: user-specific audit requirements to be combined "
+"with the global defaults at login."
+msgstr ""
+"[.filename]#audit_user#: пользовательские требования аудита, которые "
+"объединяются с глобальными настройками по умолчанию при входе в систему."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:267
+msgid ""
+"[.filename]#audit_warn#: a customizable shell script used by man:auditd[8] "
+"to generate warning messages in exceptional situations, such as when space "
+"for audit records is running low or when the audit trail file has been "
+"rotated."
+msgstr ""
+"[.filename]#audit_warn#: настраиваемый сценарий оболочки, используемый "
+"man:auditd[8] для генерации предупреждающих сообщений в исключительных "
+"ситуациях, например, когда заканчивается место для записей аудита или когда "
+"файл журнала аудита был перезаписан."
+
+#. type: delimited block = 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:271
+msgid ""
+"Audit configuration files should be edited and maintained carefully, as "
+"errors in configuration may result in improper logging of events."
+msgstr ""
+"Файлы конфигурации аудита следует редактировать и поддерживать тщательно, "
+"так как ошибки в конфигурации могут привести к некорректной записи событий."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:275
+msgid ""
+"In most cases, administrators will only need to modify "
+"[.filename]#audit_control# and [.filename]#audit_user#.  The first file "
+"controls system-wide audit properties and policies and the second file may "
+"be used to fine-tune auditing by user."
+msgstr ""
+"В большинстве случаев администраторам потребуется изменить только файлы "
+"[.filename]#audit_control# и [.filename]#audit_user#. Первый файл управляет "
+"системными настройками и политиками аудита, а второй может использоваться "
+"для тонкой настройки аудита по пользователям."
+
+#. type: Title ====
+#: documentation/content/en/books/handbook/audit/_index.adoc:277
+#, no-wrap
+msgid "The [.filename]#audit_control# File"
+msgstr "Файл [.filename]#audit_control#"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:280
+msgid ""
+"A number of defaults for the audit subsystem are specified in "
+"[.filename]#audit_control#:"
+msgstr ""
+"Некоторые параметры подсистемы аудита по умолчанию указаны в файле "
+"[.filename]#audit_control#:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:291
+#, no-wrap
+msgid ""
+"dir:/var/audit\n"
+"dist:off\n"
+"flags:lo,aa\n"
+"minfree:5\n"
+"naflags:lo,aa\n"
+"policy:cnt,argv\n"
+"filesz:2M\n"
+"expire-after:10M\n"
+msgstr ""
+"dir:/var/audit\n"
+"dist:off\n"
+"flags:lo,aa\n"
+"minfree:5\n"
+"naflags:lo,aa\n"
+"policy:cnt,argv\n"
+"filesz:2M\n"
+"expire-after:10M\n"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:296
+msgid ""
+"The `dir` entry is used to set one or more directories where audit logs will "
+"be stored.  If more than one directory entry appears, they will be used in "
+"order as they fill.  It is common to configure audit so that audit logs are "
+"stored on a dedicated file system, in order to prevent interference between "
+"the audit subsystem and other subsystems if the file system fills."
+msgstr ""
+"Запись `dir` используется для указания одного или нескольких каталогов, в "
+"которых будут храниться журналы аудита. Если указано несколько каталогов, "
+"они будут использоваться по очереди по мере заполнения. Обычно настраивают "
+"аудит так, чтобы журналы хранились на выделенной файловой системе — это "
+"предотвращает конфликты между подсистемой аудита и другими подсистемами при "
+"заполнении файловой системы."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:298
+msgid ""
+"If the `dist` field is set to `on` or `yes`, hard links will be created to "
+"all trail files in [.filename]#/var/audit/dist#."
+msgstr ""
+"Если поле `dist` установлено в `on` или `yes`, жесткие ссылки будут созданы "
+"для всех файлов журнала в [.filename]#/var/audit/dist#."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:301
+msgid ""
+"The `flags` field sets the system-wide default preselection mask for "
+"attributable events.  In the example above, successful and failed login/"
+"logout events as well as authentication and authorization are audited for "
+"all users."
+msgstr ""
+"Поле `flags` устанавливает системную маску предварительного выбора по "
+"умолчанию для учитываемых событий. В приведённом примере аудиту подлежат "
+"успешные и неудачные события входа/выхода, а также аутентификация и "
+"авторизация для всех пользователей."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:303
+msgid ""
+"The `minfree` entry defines the minimum percentage of free space for the "
+"file system where the audit trail is stored."
+msgstr ""
+"Запись `minfree` определяет минимальный процент свободного места в файловой "
+"системе, где хранится журнал аудита."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:305
+msgid ""
+"The `naflags` entry specifies audit classes to be audited for non-attributed "
+"events, such as the login/logout process and authentication and "
+"authorization."
+msgstr ""
+"Запись `naflags` определяет классы аудита для событий без атрибутов, таких "
+"как процесс входа/выхода, аутентификация и авторизация."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:309
+msgid ""
+"The `policy` entry specifies a comma-separated list of policy flags "
+"controlling various aspects of audit behavior.  The `cnt` indicates that the "
+"system should continue running despite an auditing failure (this flag is "
+"highly recommended).  The other flag, `argv`, causes command line arguments "
+"to the man:execve[2] system call to be audited as part of command execution."
+msgstr ""
+"Запись `policy` определяет список флагов политики, разделённых запятыми, "
+"которые контролируют различные аспекты поведения аудита. Флаг `cnt` "
+"указывает, что система должна продолжать работу, несмотря на сбой аудита "
+"(этот флаг настоятельно рекомендуется). Другой флаг, `argv`, приводит к "
+"аудиту аргументов командной строки системного вызова man:execve[2] как части "
+"выполнения команды."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:313
+msgid ""
+"The `filesz` entry specifies the maximum size for an audit trail before "
+"automatically terminating and rotating the trail file.  A value of `0` "
+"disables automatic log rotation.  If the requested file size is below the "
+"minimum of 512k, it will be ignored and a log message will be generated."
+msgstr ""
+"`filesz` указывает максимальный размер файла аудита перед автоматическим "
+"завершением и ротацией файла. Значение `0` отключает автоматическую ротацию "
+"логов. Если запрашиваемый размер файла меньше минимального значения в 512k, "
+"он будет проигнорирован, и будет сгенерировано сообщение в логе."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:315
+msgid ""
+"The `expire-after` field specifies when audit log files will expire and be "
+"removed."
+msgstr ""
+"Поле `expire-after` указывает, когда файлы журналов аудита устареют и будут "
+"удалены."
+
+#. type: Title ====
+#: documentation/content/en/books/handbook/audit/_index.adoc:317
+#, no-wrap
+msgid "The [.filename]#audit_user# File"
+msgstr "Файл [.filename]#audit_user#"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:321
+msgid ""
+"The administrator can specify further audit requirements for specific users "
+"in [.filename]#audit_user#.  Each line configures auditing for a user via "
+"two fields: the `alwaysaudit` field specifies a set of events that should "
+"always be audited for the user, and the `neveraudit` field specifies a set "
+"of events that should never be audited for the user."
+msgstr ""
+"Администратор может указать дополнительные требования аудита для конкретных "
+"пользователей в файле [.filename]#audit_user#. Каждая строка настраивает "
+"аудит для пользователя с помощью двух полей: поле `alwaysaudit` определяет "
+"набор событий, которые всегда должны аудироваться для пользователя, а поле "
+"`neveraudit` определяет набор событий, которые никогда не должны "
+"аудироваться для пользователя."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:324
+msgid ""
+"The following example entries audit login/logout events and successful "
+"command execution for `root` and file creation and successful command "
+"execution for `www`.  If used with the default [.filename]#audit_control#, "
+"the `lo` entry for `root` is redundant, and login/logout events will also be "
+"audited for `www`."
+msgstr ""
+"Следующие примеры записей аудита фиксируют события входа/выхода и успешного "
+"выполнения команд для пользователя `root`, а также создание файлов и "
+"успешное выполнение команд для пользователя `www`. Если используется файл "
+"[.filename]#audit_control# по умолчанию, запись `lo` для `root` избыточна, и "
+"события входа/выхода также будут фиксироваться для `www`."
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:329
+#, no-wrap
+msgid ""
+"root:lo,+ex:no\n"
+"www:fc,+ex:no\n"
+msgstr ""
+"root:lo,+ex:no\n"
+"www:fc,+ex:no\n"
+
+#. type: Title ==
+#: documentation/content/en/books/handbook/audit/_index.adoc:332
+#, no-wrap
+msgid "Working with Audit Trails"
+msgstr "Работа с журналами аудита"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:338
+msgid ""
+"Since audit trails are stored in the BSM binary format, several built-in "
+"tools are available to modify or convert these trails to text.  To convert "
+"trail files to a simple text format, use `praudit`.  To reduce the audit "
+"trail file for analysis, archiving, or printing purposes, use "
+"`auditreduce`.  This utility supports a variety of selection parameters, "
+"including event type, event class, user, date or time of the event, and the "
+"file path or object acted on."
+msgstr ""
+"Поскольку записи аудита хранятся в двоичном формате BSM, для их изменения "
+"или преобразования в текстовый формат доступны встроенные инструменты. Для "
+"преобразования файлов записей в простой текстовый формат используйте "
+"`praudit`. Для сокращения файла записей аудита с целью анализа, "
+"архивирования или печати используйте `auditreduce`. Эта утилита поддерживает "
+"различные параметры выбора, включая тип события, класс события, "
+"пользователя, дату или время события, а также путь к файлу или объект, над "
+"которым выполнялось действие."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:340
+msgid ""
+"For example, to dump the entire contents of a specified audit log in plain "
+"text:"
+msgstr ""
+"Например, чтобы вывести всё содержимое указанного журнала аудита в виде "
+"обычного текста:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:344
+#, no-wrap
+msgid "# praudit /var/audit/AUDITFILE\n"
+msgstr "# praudit /var/audit/AUDITFILE\n"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:347
+msgid "Where _AUDITFILE_ is the audit log to dump."
+msgstr "Где _AUDITFILE_ — файл журнала аудита для дампа."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:351
+msgid ""
+"Audit trails consist of a series of audit records made up of tokens, which "
+"`praudit` prints sequentially, one per line.  Each token is of a specific "
+"type, such as `header` (an audit record header) or `path` (a file path from "
+"a name lookup).  The following is an example of an `execve` event:"
+msgstr ""
+"Журналы аудита состоят из последовательности записей аудита, сформированных "
+"из токенов, которые `praudit` выводит последовательно, по одному на строку. "
+"Каждый токен имеет определённый тип, например, `header` (заголовок записи "
+"аудита) или `path` (путь к файлу из поиска по имени). Ниже приведён пример "
+"события `execve`:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:361
+#, no-wrap
+msgid ""
+"header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec\n"
+"exec arg,finger,doug\n"
+"path,/usr/bin/finger\n"
+"attribute,555,root,wheel,90,24918,104944\n"
+"subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100\n"
+"return,success,0\n"
+"trailer,133\n"
+msgstr ""
+"header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec\n"
+"exec arg,finger,doug\n"
+"path,/usr/bin/finger\n"
+"attribute,555,root,wheel,90,24918,104944\n"
+"subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100\n"
+"return,success,0\n"
+"trailer,133\n"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:370
+msgid ""
+"This audit represents a successful `execve` call, in which the command "
+"`finger doug` has been run.  The `exec arg` token contains the processed "
+"command line presented by the shell to the kernel.  The `path` token holds "
+"the path to the executable as looked up by the kernel.  The `attribute` "
+"token describes the binary and includes the file mode.  The `subject` token "
+"stores the audit user ID, effective user ID and group ID, real user ID and "
+"group ID, process ID, session ID, port ID, and login address.  Notice that "
+"the audit user ID and real user ID differ as the user `robert` switched to "
+"the `root` account before running this command, but it is audited using the "
+"original authenticated user.  The `return` token indicates the successful "
+"execution and the `trailer` concludes the record."
+msgstr ""
+"Этот аудит представляет успешный вызов `execve`, в котором была выполнена "
+"команда `finger doug`. Токен `exec arg` содержит обработанную командную "
+"строку, переданную оболочкой ядру. Токен `path` содержит путь к исполняемому "
+"файлу, найденный ядром. Токен `attribute` описывает бинарный файл и включает "
+"режим файла. Токен `subject` хранит аудитный идентификатор пользователя, "
+"эффективные идентификаторы пользователя и группы, реальные идентификаторы "
+"пользователя и группы, идентификатор процесса, идентификатор сессии, "
+"идентификатор порта и адрес входа. Обратите внимание, что аудитный "
+"идентификатор пользователя и реальный идентификатор пользователя "
+"различаются, так как пользователь `robert` переключился на учетную запись "
+"`root` перед выполнением этой команды, но аудит ведется с использованием "
+"исходного аутентифицированного пользователя. Токен `return` указывает на "
+"успешное выполнение, а `trailer` завершает запись."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:372
+msgid ""
+"XML output format is also supported and can be selected by including `-x`."
+msgstr ""
+"Также поддерживается формат вывода XML, и он может быть выбран добавлением "
+"опции `-x`."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:375
+msgid ""
+"Since audit logs may be very large, a subset of records can be selected "
+"using `auditreduce`.  This example selects all audit records produced for "
+"the user `trhodes` stored in [.filename]#AUDITFILE#:"
+msgstr ""
+"Поскольку журналы аудита могут быть очень большими, можно выбрать "
+"подмножество записей с помощью `auditreduce`. В этом примере выбираются все "
+"записи аудита, созданные для пользователя `trhodes`, хранящиеся в "
+"[.filename]#AUDITFILE#:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:379
+#, no-wrap
+msgid "# auditreduce -u trhodes /var/audit/AUDITFILE | praudit\n"
+msgstr "# auditreduce -u trhodes /var/audit/AUDITFILE | praudit\n"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:385
+msgid ""
+"Members of the `audit` group have permission to read audit trails in "
+"[.filename]#/var/audit#.  By default, this group is empty, so only the "
+"`root` user can read audit trails.  Users may be added to the `audit` group "
+"in order to delegate audit review rights.  As the ability to track audit log "
+"contents provides significant insight into the behavior of users and "
+"processes, it is recommended that the delegation of audit review rights be "
+"performed with caution."
+msgstr ""
+"Участники группы `audit` имеют право читать журналы аудита в [.filename]#/"
+"var/audit#. По умолчанию эта группа пуста, поэтому только пользователь "
+"`root` может читать журналы аудита. Пользователи могут быть добавлены в "
+"группу `audit` для делегирования прав просмотра аудита. Поскольку "
+"возможность отслеживать содержимое журналов аудита дает значительное "
+"представление о поведении пользователей и процессов, рекомендуется "
+"делегировать права просмотра аудита с осторожностью."
+
+#. type: Title ===
+#: documentation/content/en/books/handbook/audit/_index.adoc:386
+#, no-wrap
+msgid "Live Monitoring Using Audit Pipes"
+msgstr "Мониторинг в реальном времени с использованием потоков аудита"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:392
+msgid ""
+"Audit pipes are cloning pseudo-devices which allow applications to tap the "
+"live audit record stream.  This is primarily of interest to authors of "
+"intrusion detection and system monitoring applications.  However, the audit "
+"pipe device is a convenient way for the administrator to allow live "
+"monitoring without running into problems with audit trail file ownership or "
+"log rotation interrupting the event stream.  To track the live audit event "
+"stream:"
+msgstr ""
+"Потоки аудитные (audit pipes) являются клонируемыми псевдоустройствами, "
+"которые позволяют приложениям получать доступ к потоку записей аудита в "
+"реальном времени. В первую очередь это интересно разработчикам систем "
+"обнаружения вторжений и мониторинга. Однако аудитное канальное устройство — "
+"это удобный способ для администратора организовать мониторинг в реальном "
+"времени без проблем с правами владения файлами аудита или прерывания потока "
+"событий из-за ротации логов. Для отслеживания живого потока событий аудита:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:396
+#, no-wrap
+msgid "# praudit /dev/auditpipe\n"
+msgstr "# praudit /dev/auditpipe\n"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:400
+msgid ""
+"By default, audit pipe device nodes are accessible only to the `root` user.  "
+"To make them accessible to the members of the `audit` group, add a `devfs` "
+"rule to [.filename]#/etc/devfs.rules#:"
+msgstr ""
+"По умолчанию узлы устройств потоков аудита доступны только пользователю "
+"`root`. Чтобы сделать их доступными для членов группы `audit`, добавьте "
+"правило `devfs` в [.filename]#/etc/devfs.rules#:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:404
+#, no-wrap
+msgid "add path 'auditpipe*' mode 0440 group audit\n"
+msgstr "add path 'auditpipe*' mode 0440 group audit\n"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:407
+msgid ""
+"See man:devfs.rules[5] for more information on configuring the devfs file "
+"system."
+msgstr ""
+"За дополнительной информацией о настройке файловой системы devfs см. "
+"man:devfs.rules[5]."
+
+#. type: delimited block = 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:413
+msgid ""
+"It is easy to produce audit event feedback cycles, in which the viewing of "
+"each audit event results in the generation of more audit events.  For "
+"example, if all network I/O is audited, and `praudit` is run from an SSH "
+"session, a continuous stream of audit events will be generated at a high "
+"rate, as each event being printed will generate another event.  For this "
+"reason, it is advisable to run `praudit` on an audit pipe device from "
+"sessions without fine-grained I/O auditing."
+msgstr ""
+"Легко создать циклы обратной связи с событиями аудита, когда просмотр "
+"каждого события аудита приводит к генерации новых событий аудита. Например, "
+"если аудируется весь сетевой ввод-вывод, и `praudit` запускается из сессии "
+"SSH, будет создаваться непрерывный поток событий аудита с высокой скоростью, "
+"так как каждое выводимое событие будет генерировать новое событие. По этой "
+"причине рекомендуется запускать `praudit` на устройстве аудит-канала из "
+"сеансов без детального аудита ввода-вывода."
+
+#. type: Title ===
+#: documentation/content/en/books/handbook/audit/_index.adoc:415
+#, no-wrap
+msgid "Rotating and Compressing Audit Trail Files"
+msgstr "Ротация и сжатие файлов журнала аудита"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:422
+msgid ""
+"Audit trails are written to by the kernel and managed by the audit daemon, "
+"man:auditd[8].  Administrators should not attempt to use "
+"man:newsyslog.conf[5] or other tools to directly rotate audit logs.  "
+"Instead, `audit` should be used to shut down auditing, reconfigure the audit "
+"system, and perform log rotation.  The following command causes the audit "
+"daemon to create a new audit log and signal the kernel to switch to using "
+"the new log.  The old log will be terminated and renamed, at which point it "
+"may then be manipulated by the administrator:"
+msgstr ""
+"Журналы аудита создаются ядром и управляются демоном аудита man:auditd[8]. "
+"Администраторам не следует пытаться использовать man:newsyslog.conf[5] или "
+"другие инструменты для непосредственной ротации журналов аудита. Вместо "
+"этого следует использовать `audit` для остановки аудита, переконфигурации "
+"системы аудита и выполнения ротации журналов. Следующая команда заставляет "
+"демон аудита создать новый журнал аудита и передать ядру сигнал о переходе "
+"на использование нового журнала. Старый журнал будет завершен и "
+"переименован, после чего администратор может выполнить с ним необходимые "
+"действия:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:426
+#, no-wrap
+msgid "# audit -n\n"
+msgstr "# audit -n\n"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:429
+msgid ""
+"If man:auditd[8] is not currently running, this command will fail and an "
+"error message will be produced."
+msgstr ""
+"Если man:auditd[8] в данный момент не запущен, эта команда завершится "
+"ошибкой и будет выведено сообщение об ошибке."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:431
+msgid ""
+"Adding the following line to [.filename]#/etc/crontab# will schedule this "
+"rotation every twelve hours:"
+msgstr ""
+"Добавление следующей строки в [.filename]#/etc/crontab# позволит выполнять "
+"эту ротацию каждые двенадцать часов:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:435
+#, no-wrap
+msgid "0     */12       *       *       *       root    /usr/sbin/audit -n\n"
+msgstr "0     */12       *       *       *       root    /usr/sbin/audit -n\n"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:438
+msgid "The change will take effect once [.filename]#/etc/crontab# is saved."
+msgstr ""
+"Изменение вступит в силу после сохранения файла [.filename]#/etc/crontab#."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:442
+msgid ""
+"Automatic rotation of the audit trail file based on file size is possible "
+"using `filesz` in [.filename]#audit_control# as described in "
+"crossref:audit[audit-auditcontrol, The audit_control File]."
+msgstr ""
+"Автоматическая ротация файла журнала аудита на основе размера файла возможна "
+"с использованием `filesz` в [.filename]#audit_control#, как описано в "
+"crossref:audit[audit-auditcontrol,Файл audit_control]."
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:446
+msgid ""
+"As audit trail files can become very large, it is often desirable to "
+"compress or otherwise archive trails once they have been closed by the audit "
+"daemon.  The [.filename]#audit_warn# script can be used to perform "
+"customized operations for a variety of audit-related events, including the "
+"clean termination of audit trails when they are rotated.  For example, the "
+"following may be added to [.filename]#/etc/security/audit_warn# to compress "
+"audit trails on close:"
+msgstr ""
+"Поскольку файлы журналов аудита могут становиться очень большими, часто "
+"возникает необходимость сжимать или архивировать их после закрытия демоном "
+"аудита. Скрипт [.filename]#audit_warn# можно использовать для выполнения "
+"пользовательских операций при различных событиях, связанных с аудитом, "
+"включая корректное завершение журналов при их ротации. Например, следующее "
+"можно добавить в [.filename]#/etc/security/audit_warn# для сжатия журналов "
+"аудита после закрытия:"
+
+#. type: delimited block . 4
+#: documentation/content/en/books/handbook/audit/_index.adoc:455
+#, no-wrap
+msgid ""
+"#\n"
+"# Compress audit trail files on close.\n"
+"#\n"
+"if [ \"$1\" = closefile ]; then\n"
+"        gzip -9 $2\n"
+"fi\n"
+msgstr ""
+"#\n"
+"# Compress audit trail files on close.\n"
+"#\n"
+"if [ \"$1\" = closefile ]; then\n"
+"        gzip -9 $2\n"
+"fi\n"
+
+#. type: Plain text
+#: documentation/content/en/books/handbook/audit/_index.adoc:459
+msgid ""
+"Other archiving activities might include copying trail files to a "
+"centralized server, deleting old trail files, or reducing the audit trail to "
+"remove unneeded records.  This script will be run only when audit trail "
+"files are cleanly terminated.  It will not be run on trails left "
+"unterminated following an improper shutdown."
+msgstr ""
+"Другие действия по архивированию могут включать копирование файлов журналов "
+"на централизованный сервер, удаление старых файлов журналов или сокращение "
+"журнала аудита для удаления ненужных записей. Этот скрипт будет выполняться "
+"только тогда, когда файлы журналов аудита корректно завершены. Он не будет "
+"выполняться для журналов, оставшихся незавершёнными после некорректного "
+"завершения работы."