Vyhledávání na webu

Jak dotazovat protokoly auditu pomocí nástroje 'ausearch' na CentOS/RHEL

V našem posledním článku jsme vysvětlili, jak auditovat systém RHEL nebo CentOS pomocí auditovaného nástroje. Auditní systém (auditd) je komplexní systém protokolování a v tomto ohledu nepoužívá syslog. Dodává se také se sadou nástrojů pro správu systému auditu jádra a také pro vyhledávání a vytváření zpráv z informací v souborech protokolu.

V tomto tutoriálu vysvětlíme, jak použít nástroj ausearch k načtení dat ze souborů protokolu auditd v distribucích Linuxu založených na RHEL a CentOS.

Přečtěte si také: 4 dobré nástroje pro monitorování a správu protokolů s otevřeným zdrojovým kódem pro Linux

Jak jsme již zmínili dříve, auditní systém má démona auditu user-space (auditd), který shromažďuje informace související se zabezpečením na základě předem nakonfigurovaných pravidel z jádra a generuje položky v souboru protokolu.

Co je ausearch?

ausearch je jednoduchý nástroj příkazového řádku používaný k prohledávání souborů protokolu démona auditu na základě událostí a různých kritérií vyhledávání, jako je identifikátor události, identifikátor klíče, architektura CPU, název příkazu, název hostitele, název skupiny nebo ID skupiny , systémové volání, zprávy a další. Přijímá také nezpracovaná data ze stdin.

Ve výchozím nastavení se ausearch dotazuje na soubor /var/log/audit/audit.log, který můžete zobrazit stejně jako jakýkoli jiný textový soubor.

cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less

Z výše uvedeného snímku obrazovky můžete vidět spoustu dat ze souboru protokolu, což ztěžuje získání konkrétních informací, které vás zajímají.

Proto potřebujete ausearch, který umožňuje vyhledávat informace výkonnějším a účinnějším způsobem pomocí následující syntaxe.

ausearch [options]

Zkontrolujte protokoly spuštěných procesů v souboru protokolu auditu

Parametr -p se používá k předání ID procesu.

ausearch -p 2317

Zkontrolujte neúspěšné pokusy o přihlášení v souboru protokolu auditu

Zde musíte použít volbu -m k identifikaci konkrétních zpráv a -sv k definování hodnoty úspěchu.

ausearch -m USER_LOGIN -sv no

Najděte aktivitu uživatele v auditovaném souboru protokolu

-ua se používá k předání uživatelského jména.

ausearch -ua tecmint
OR
ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Chcete-li se dotazovat na akce provedené určitým uživatelem za dané časové období, použijte -ts pro počáteční datum/čas a -te pro zadání koncového data/času následovně ( místo formátů skutečného času můžete použít slova jako nyní, nedávno, dnes, včera, tento týden, před týdnem, tento měsíc, tento rok a také kontrolní bod).

ausearch -ua tecmint -ts yesterday -te now -i

Další příklady vyhledávání akcí daného uživatele v systému.

ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i

Najděte úpravy uživatelských účtů, skupin a rolí v auditovaných protokolech

Pokud chcete zkontrolovat všechny systémové změny související s uživatelskými účty, skupinami a rolemi; zadejte různé typy zpráv oddělených čárkami jako v příkazu níže (postarejte se o seznam oddělený čárkami, mezi čárkou a další položkou nenechávejte mezeru):

ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Prohledejte auditovaný soubor protokolu pomocí hodnoty klíče

Zvažte níže uvedené pravidlo auditu, které zaznamená všechny pokusy o přístup nebo úpravu databáze uživatelských účtů /etc/passwd.

auditctl -w /etc/passwd -p rwa -k passwd_changes

Nyní zkuste otevřít výše uvedený soubor pro úpravy a zavřete jej následovně.

vi /etc/passwd

Jen proto, že víte, že o tom byla zaznamenána položka protokolu, můžete poslední části souboru protokolu zobrazit pomocí příkazu tail takto:

tail /var/log/audit/audit.log

Co když bylo nedávno zaznamenáno několik dalších událostí, nalezení konkrétních informací by bylo tak obtížné, ale pomocí ausearch můžete předat příznak -k s hodnotou klíče, kterou jste zadali v pravidle auditu zobrazíte všechny zprávy protokolu týkající se událostí souvisejících s přístupem nebo úpravou souboru /etc/passwd.

Zobrazí se také provedené změny konfigurace – definice pravidel auditu.

ausearch -k passwd_changes | less

Pro více informací a možností použití si přečtěte manuálovou stránku ausearch:

man ausearch

Chcete-li se dozvědět více o auditování systému Linux a správě protokolů, přečtěte si následující související články.

  1. Petiti – Open Source Log Analysis Tool pro Linux SysAdmins
  2. Monitorujte protokoly serveru v reálném čase pomocí nástroje „Log.io“ na RHEL/CentOS 7/6
  3. Jak nastavit a spravovat rotaci protokolu pomocí Logrotate v systému Linux
  4. lnav – Sledujte a analyzujte protokoly Apache z terminálu Linux

V tomto tutoriálu jsme popsali, jak použít ausearch k načtení dat z auditovaného souboru protokolu na RHEL a CentOS. Máte-li jakékoli dotazy nebo myšlenky, které byste chtěli sdílet, použijte sekci komentářů a kontaktujte nás.

V našem dalším článku si vysvětlíme, jak vytvořit sestavy ze souborů protokolu auditu pomocí aureport v RHEL/CentOS/Fedora.