Jak dotazovat protokoly auditu pomocí nástroje 'ausearch' na CentOS/RHEL
V našem posledním článku jsme vysvětlili, jak auditovat systém RHEL nebo CentOS pomocí auditovaného nástroje. Auditní systém (auditd) je komplexní systém protokolování a v tomto ohledu nepoužívá syslog. Dodává se také se sadou nástrojů pro správu systému auditu jádra a také pro vyhledávání a vytváření zpráv z informací v souborech protokolu.
V tomto tutoriálu vysvětlíme, jak použít nástroj ausearch k načtení dat ze souborů protokolu auditd v distribucích Linuxu založených na RHEL a CentOS.
Přečtěte si také: 4 dobré nástroje pro monitorování a správu protokolů s otevřeným zdrojovým kódem pro Linux
Jak jsme již zmínili dříve, auditní systém má démona auditu user-space (auditd), který shromažďuje informace související se zabezpečením na základě předem nakonfigurovaných pravidel z jádra a generuje položky v souboru protokolu.
Co je ausearch?
ausearch je jednoduchý nástroj příkazového řádku používaný k prohledávání souborů protokolu démona auditu na základě událostí a různých kritérií vyhledávání, jako je identifikátor události, identifikátor klíče, architektura CPU, název příkazu, název hostitele, název skupiny nebo ID skupiny , systémové volání, zprávy a další. Přijímá také nezpracovaná data ze stdin.
Ve výchozím nastavení se ausearch dotazuje na soubor /var/log/audit/audit.log, který můžete zobrazit stejně jako jakýkoli jiný textový soubor.
cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less
Z výše uvedeného snímku obrazovky můžete vidět spoustu dat ze souboru protokolu, což ztěžuje získání konkrétních informací, které vás zajímají.
Proto potřebujete ausearch, který umožňuje vyhledávat informace výkonnějším a účinnějším způsobem pomocí následující syntaxe.
ausearch [options]
Zkontrolujte protokoly spuštěných procesů v souboru protokolu auditu
Parametr -p
se používá k předání ID procesu.
ausearch -p 2317
Zkontrolujte neúspěšné pokusy o přihlášení v souboru protokolu auditu
Zde musíte použít volbu -m
k identifikaci konkrétních zpráv a -sv
k definování hodnoty úspěchu.
ausearch -m USER_LOGIN -sv no
Najděte aktivitu uživatele v auditovaném souboru protokolu
-ua se používá k předání uživatelského jména.
ausearch -ua tecmint
OR
ausearch -ua tecmint -i # enable interpreting of numeric entities into text.
Chcete-li se dotazovat na akce provedené určitým uživatelem za dané časové období, použijte -ts
pro počáteční datum/čas a -te
pro zadání koncového data/času následovně ( místo formátů skutečného času můžete použít slova jako nyní, nedávno, dnes, včera, tento týden, před týdnem, tento měsíc, tento rok a také kontrolní bod).
ausearch -ua tecmint -ts yesterday -te now -i
Další příklady vyhledávání akcí daného uživatele v systému.
ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i
Najděte úpravy uživatelských účtů, skupin a rolí v auditovaných protokolech
Pokud chcete zkontrolovat všechny systémové změny související s uživatelskými účty, skupinami a rolemi; zadejte různé typy zpráv oddělených čárkami jako v příkazu níže (postarejte se o seznam oddělený čárkami, mezi čárkou a další položkou nenechávejte mezeru):
ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE -i
Prohledejte auditovaný soubor protokolu pomocí hodnoty klíče
Zvažte níže uvedené pravidlo auditu, které zaznamená všechny pokusy o přístup nebo úpravu databáze uživatelských účtů /etc/passwd.
auditctl -w /etc/passwd -p rwa -k passwd_changes
Nyní zkuste otevřít výše uvedený soubor pro úpravy a zavřete jej následovně.
vi /etc/passwd
Jen proto, že víte, že o tom byla zaznamenána položka protokolu, můžete poslední části souboru protokolu zobrazit pomocí příkazu tail takto:
tail /var/log/audit/audit.log
Co když bylo nedávno zaznamenáno několik dalších událostí, nalezení konkrétních informací by bylo tak obtížné, ale pomocí ausearch můžete předat příznak -k
s hodnotou klíče, kterou jste zadali v pravidle auditu zobrazíte všechny zprávy protokolu týkající se událostí souvisejících s přístupem nebo úpravou souboru /etc/passwd.
Zobrazí se také provedené změny konfigurace – definice pravidel auditu.
ausearch -k passwd_changes | less
Pro více informací a možností použití si přečtěte manuálovou stránku ausearch:
man ausearch
Chcete-li se dozvědět více o auditování systému Linux a správě protokolů, přečtěte si následující související články.
- Petiti – Open Source Log Analysis Tool pro Linux SysAdmins
- Monitorujte protokoly serveru v reálném čase pomocí nástroje „Log.io“ na RHEL/CentOS 7/6
- Jak nastavit a spravovat rotaci protokolu pomocí Logrotate v systému Linux
- lnav – Sledujte a analyzujte protokoly Apache z terminálu Linux
V tomto tutoriálu jsme popsali, jak použít ausearch k načtení dat z auditovaného souboru protokolu na RHEL a CentOS. Máte-li jakékoli dotazy nebo myšlenky, které byste chtěli sdílet, použijte sekci komentářů a kontaktujte nás.
V našem dalším článku si vysvětlíme, jak vytvořit sestavy ze souborů protokolu auditu pomocí aureport v RHEL/CentOS/Fedora.