Kā izveidot pārskatus no revīzijas žurnāliem, izmantojot CentOS/RHEL ‘aureport’


Šis raksts ir mūsu pašreizējā vaicājumu žurnālu sērija, izmantojot ausearch lietderību.

Šajā trešajā daļā mēs paskaidrosim, kā ģenerēt pārskatus no audita žurnāla failiem, izmantojot Aureport lietderību CentOS un RHEL balstītos Linux izplatījumos.

aureport ir komandrindas lietderība, ko izmanto, lai izveidotu noderīgus kopsavilkuma pārskatus no revīzijas žurnāla failiem, kas saglabāti mapē/var/log/audit /. Tāpat kā ausearch, tā arī pieņem neapstrādātus žurnāla datus no stdin.

Tā ir viegli lietojama utilīta; vienkārši nododiet opciju konkrēta veida pārskatam, kas jums nepieciešams, kā parādīts tālāk sniegtajos piemēros.

Aurepot komanda izveidos pārskatu par visām atslēgām, kuras norādījāt revīzijas noteikumos, izmantojot karodziņu -k .

# aureport -k 

Izmantojot opciju -i , varat iespējot skaitlisku entītiju interpretēšanu tekstā (piemēram, pārveidot UID par konta nosaukumu).

# aureport -k -i

Ja jums ir nepieciešams pārskats par visiem notikumiem, kas saistīti ar visu lietotāju autentifikācijas mēģinājumiem, izmantojiet opciju -au .

# aureport -au 
OR
# aureport -au -i

Opcija -l liek aureport ģenerēt pārskatu par visiem pieteikšanās gadījumiem šādi.

Šī komanda parāda, kā ziņot par visiem neizdevušajiem notikumiem.

# aureport --failed

Ir iespējams arī ģenerēt atskaites uz noteiktu laika periodu; -ts nosaka sākuma datumu/laiku un -te - beigu datumu/laiku. Faktisko laika formātu vietā varat izmantot arī tādus vārdus kā tagad, nesen, šodien, vakar, šonedēļ, pirms nedēļas, šomēnes, šogad.

# aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
# aureport -ts yesterday -te now --summary -i 

Ja vēlaties izveidot pārskatu no cita faila, kas nav noklusējuma žurnāla faili/var/log/audit direktorijā, izmantojiet karodziņu -if , lai norādītu failu.

Šī komanda ziņo par visiem pieteikšanās gadījumiem, kas reģistrēti /var/log/tecmint/hosts/node1.log.

# aureport -l -if /var/log/tecmint/hosts/node1.log 

Visas opcijas un vairāk informācijas varat atrast aureport man lapā.

# man aureport

Zemāk ir saraksts ar rakstiem par žurnālu pārvaldību un atskaišu ģenerēšanas rīkiem Linux:

  1. 4 labi Linux atvērtā pirmkoda žurnālu uzraudzības un pārvaldības rīki
  2. SARG - kalmāru analīzes pārskatu ģenerators un interneta joslas platuma uzraudzības rīks
  3. Smem - ziņo par atmiņas patēriņu par procesu un par lietotāju Linux Linux
  4. Kā pārvaldīt sistēmas žurnālus (konfigurēt, pagriezt un importēt datu bāzē)

Šajā apmācībā mēs parādījām, kā ģenerēt kopsavilkuma pārskatus no audita žurnāla failiem RHEL/CentOS/Fedora. Izmantojiet zemāk esošo komentāru sadaļu, lai uzdotu jautājumus vai dalītos domās par šo rokasgrāmatu.

Pēc tam mēs parādīsim, kā auditēt konkrētu procesu, izmantojot “autrace” utilītu, līdz tam turiet bloķētu Tecmint.