Vyhledávání na webu

Jak vytvářet sestavy z protokolů auditu pomocí „aureport“ na CentOS/RHEL

Tento článek je naší pokračující sérií o auditování Linuxu. V našich posledních dvou článcích jsme vysvětlili, jak nainstalovat a auditovat systémy Linux (CentOS a RHEL) a jak dotazovat protokoly pomocí utilita ausearch.

V této třetí části vysvětlíme, jak generovat zprávy ze souborů protokolu auditu pomocí nástroje aureport v distribucích Linuxu založených na CentOS a RHEL.

Přečtěte si také: Jak vytvářet a doručovat zprávy o činnosti systému pomocí sad nástrojů Linux

Co je aureport?

aureport je nástroj příkazového řádku používaný k vytváření užitečných souhrnných zpráv ze souborů protokolu auditu uložených v /var/log/audit/. Stejně jako ausearch přijímá také nezpracovaná logová data ze stdin.

Je to snadno použitelný nástroj; jednoduše předejte volbu pro konkrétní druh sestavy, kterou potřebujete, jak je znázorněno v příkladech níže.

Vytvořte zprávu týkající se klíčů pravidel auditu

Příkaz aurepot vytvoří zprávu o všech klíčích, které jste zadali v pravidlech auditu, pomocí příznaku -k.

aureport -k

Pomocí volby -i můžete povolit interpretaci číselných entit na text (například převést UID na název účtu).

aureport -k -i

Vytvořit zprávu o pokusech o ověření

Pokud potřebujete zprávu o všech událostech souvisejících s pokusy o ověření pro všechny uživatele, použijte volbu -au.

aureport -au 
OR
aureport -au -i

Vytvořte zprávu týkající se přihlášení

Volba -l říká aureportu, aby vygeneroval zprávu o všech přihlášeních následovně.

Hlásit neúspěšné události v systému

Následující příkaz ukazuje, jak hlásit všechny neúspěšné události.

aureport --failed

Vygenerujte souhrnnou zprávu za dané časové období

Je také možné generovat reporty za zadané časové období; -ts definuje počáteční datum/čas a -te nastavuje koncové datum/čas. Místo formátů skutečného času můžete také použít slova jako nyní, nedávno, dnes, včera, tento týden, před týdnem, tento měsíc, tento rok.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i

Vytvořte zprávu z jiného souboru protokolu auditu

Pokud chcete vytvořit sestavu z jiného souboru, než jsou výchozí soubory protokolu v adresáři /var/log/audit, použijte k určení souboru příznak -if.

Tento příkaz hlásí všechna přihlášení zaznamenaná v /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log

Všechny možnosti a další informace naleznete na stránce aureport.

man aureport

Níže je uveden seznam článků týkajících se správy protokolů a nástrojů pro generování sestav v Linuxu:

  1. 4 Dobré nástroje pro monitorování a správu protokolů s otevřeným zdrojovým kódem pro Linux
  2. SARG – Squid Analysis Report Generator a Internet Bandwidth Monitoring Tool
  3. Smem – hlásí spotřebu paměti na proces a na uživatele v Linuxu
  4. Jak spravovat systémové protokoly (konfigurovat, otáčet a importovat do databáze)

V tomto tutoriálu jsme si ukázali, jak generovat souhrnné zprávy ze souborů protokolu auditu v RHEL/CentOS/Fedora. Pomocí sekce komentářů níže můžete položit jakékoli otázky nebo sdílet myšlenky týkající se této příručky.

Dále si ukážeme, jak auditovat konkrétní proces pomocí nástroje „autrace“, do té doby mějte uzamčené na Tecmint.