### 資源的審計 不是每個問題都有技術性的答案。我曾經診斷過一臺服務器，它對 ping、SSH 或控制臺連接均無響應。 我不能確定這到底是硬件故障還是軟件故障。 當我電話詢問主機所在位置的站點客服時，奧秘最終被揭開了。他們告訴我： 先期抵達的兩名不明身份的男子，進入大廈直奔服務器機房，拔下了機器，并輕易地將機器帶出了大廈。 后來我們發現，在機房所在的地區（Missouri，M.O.）曾發生過一連串的電腦失竊案。 從這個案例獲得的重要信息是：最終知道了誰對你的服務器做了些什么，這還是不錯的。 模擬運行模式（使用 --noop 開關）審計由 Puppet 控制的任何機器的變化是一種簡單的方法。 然而，Puppet 還有一個專門的審計功能，它可以報告資源或特定屬性的變化。 #### 操作步驟 使用 audit 元參數定義一個資源： ``` file { "/etc/passwd": audit => [ owner, mode ], } ``` #### 工作原理 **元參數**（**metaparameter**）是一種可以應用到任何資源的參數，不僅用于指定類型。 audit 元參數告訴 Puppet，你想要記錄和監視關于這個資源的某些事件。 其值可以是你要審計的一個參數列表。 在本例中，一旦 Puppet 運行，它就開始記錄 /etc/passwd 文件的屬主和權限模式。 無論是屬主改變還是權限改變，例如：如果你運行了如下命令： ``` # chmod 666 /etc/passwd ``` 當下一次運行 Puppet 時，它將會察覺到這個變化并將其記入日志： ``` notice: /Stage[main]//Node[cookbook]/File[/etc/passwd]/mode: audit change: previously recorded value 644 has been changed to 666 ``` #### 更多用法 對于需要審記大型網絡中的機器所做的任何改變（無論是惡意的還是意外的）的情況， 使用 audit 特性是非常有用的。 你還可以使用 tagmail 報告特性通過 e-mail 自動發送審計通知信息。 對于要時刻關注不被 Puppet 管理的任何事物（例如生產服務器上的應用程序代碼）的情況， 使用 audit 特性也是非常方便的。 你可以從 [http://www.puppetlabs.com/blog/allabout-auditing-with-puppet/](http://www.puppetlabs.com/blog/allabout-auditing-with-puppet/) 獲取更多關于 Puppet 審計能力的信息。 如果你希望審計一個資源的一切，可以使用如下的代碼： ``` file { "/etc/passwd": audit => all, } ``` #### 參見本書 * 第 2 章的 [測試你的 Puppet 配置清單](#ch02sec06) 一節 * 第 2 章的 [通過 Email 發送包含特定標簽的日志信息](#ch02sec02) 一節