Kā vaicāt revīzijas žurnālus, izmantojot CentOS/RHEL ausearch rīku

Mūsu pēdējā rakstā mēs esam izskaidrojuši, kā auditēt RHEL vai CentOS sistēmu, izmantojot auditd lietderību. Revīzijas sistēma (auditd) ir visaptveroša reģistrēšanas sistēma, un šajā jautājumā tā neizmanto syslog. Tam ir arī rīku kopums kodola audita sistēmas pārvaldībai, kā arī pārskatu meklēšana un sagatavošana no žurnāla failos esošās informācijas.

Šajā apmācībā mēs paskaidrosim, kā izmantot ausearch rīku, lai izgūtu datus no auditd žurnāla failiem uz RHEL un CentOS balstītiem Linux izplatījumiem.

Kā jau minējām iepriekš, revīzijas sistēmā ir lietotāja telpas audita dēmons (auditd), kas apkopo ar drošību saistītu informāciju, pamatojoties uz iepriekš konfigurētiem noteikumiem, no kodola un ģenerē ierakstus žurnāla failā.

ausearch ir vienkāršs komandrindas rīks, ko izmanto, lai meklētu audita dēmonu žurnālfailus, pamatojoties uz notikumiem un dažādiem meklēšanas kritērijiem, piemēram, notikuma identifikatoru, atslēgas identifikatoru, CPU arhitektūru, komandas nosaukumu, resursdatora nosaukumu, grupas nosaukumu vai grupas ID, syscall, ziņojumus un ne tikai. Tas arī pieņem neapstrādātus datus no stdin.

Pēc noklusējuma ausearch vaicā failu /var/log/audit/audit.log, kuru varat skatīt tāpat kā jebkuru citu teksta failu.

# cat /var/log/audit/audit.log
OR
# cat /var/log/audit/audit.log | less

Iepriekš redzamajā ekrānuzņēmumā varat redzēt daudz datu no žurnāla faila, kas apgrūtina konkrētas interesējošas informācijas iegūšanu.

Tāpēc jums ir nepieciešams ausearch, kas ļauj meklēt informāciju jaudīgākā un efektīvākā veidā, izmantojot šādu sintaksi.

# ausearch [options]

Karodziņu -p izmanto, lai nodotu procesa ID.

# ausearch -p 2317

Šeit jums jāizmanto opcija -m , lai identificētu konkrētus ziņojumus, un -sv , lai noteiktu veiksmes vērtību.

# ausearch -m USER_LOGIN -sv no

Lietotājvārda nodošanai tiek izmantots -ua.

# ausearch -ua tecmint
OR
# ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Lai vaicātu darbības, kuras konkrēts lietotājs veicis noteiktā laika periodā, sākuma datumam/laikam izmantojiet -ts un -te , lai norādītu beigu datumu/laiku šādi ( ņemiet vērā, ka faktisko laika formātu vietā varat izmantot tādus vārdus kā tagad, nesen, šodien, vakar, šonedēļ, pirms nedēļas, šomēnes, šajā gadā, kā arī kontrolpunktu).

# ausearch -ua tecmint -ts yesterday -te now -i

Vairāk piemēru par konkrēta lietotāja darbību meklēšanu sistēmā.

# ausearch -ua 1000 -ts this-week -i
# ausearch -ua tecmint -m USER_LOGIN -sv no -i

Ja vēlaties pārskatīt visas sistēmas izmaiņas, kas saistītas ar lietotāju kontiem, grupām un lomām; norādiet dažādus ar komatiem atdalītus ziņojumu veidus, kā norādīts zemāk esošajā komandā (rūpējieties par komatatdalīto sarakstu, neatstājiet atstarpi starp komatu un nākamo vienumu):

# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Apsveriet zemāk esošo revīzijas kārtulu, kurā tiks reģistrēti visi mēģinājumi piekļūt/modificēt/etc/passwd lietotāju kontu datu bāzi.

# auditctl -w /etc/passwd -p rwa -k passwd_changes

Tagad mēģiniet atvērt iepriekš minēto failu rediģēšanai un aizveriet to šādi.

# vi /etc/passwd

Tikai tāpēc, ka zināt, ka par to ir reģistrēts žurnāla ieraksts, iespējams, žurnāla faila pēdējās daļas ar komandu tail apskatīsit šādi:

# tail /var/log/audit/audit.log

Ko darīt, ja nesen ir reģistrēti vairāki citi notikumi, atrast konkrēto informāciju būtu tik grūti, taču, izmantojot ausearch, varat nodot karodziņu -k ar atslēgas vērtību, kuru norādījāt audita kārtulā, lai apskatītu visu reģistrēt ziņojumus par notikumiem, kas saistīti ar piekļuvi/modifikāciju/etc/passwd failam.

Tas parādīs arī veiktās konfigurācijas izmaiņas, nosakot revīzijas noteikumus.

# ausearch -k passwd_changes | less

Lai iegūtu papildinformāciju un lietošanas iespējas, lasiet ausearch man lapu:

# man ausearch

Lai uzzinātu vairāk par Linux sistēmas auditēšanu un žurnālu pārvaldību, izlasiet šos saistītos rakstus.

  1. Petiti - atvērtā pirmkoda žurnālu analīzes rīks Linux SysAdmins
  2. Monitorējiet servera žurnālus reāllaikā, izmantojot rīku “Log.io” RHEL/CentOS 7/6
  3. Kā iestatīt un pārvaldīt žurnāla pagriešanu, izmantojot Linux programmu Logrotate
  4. lnav - skatieties un analizējiet Apache žurnālus no Linux termināļa

Šajā apmācībā mēs aprakstījām, kā izmantot ausearch, lai izgūtu datus no auditd žurnāla faila RHEL un CentOS. Ja jums ir kādi jautājumi vai domas, ko dalīties, izmantojiet komentāru sadaļu, lai ar mums sazinātos.

Nākamajā rakstā mēs paskaidrosim, kā izveidot pārskatus no audita žurnāla failiem, izmantojot RHEL/CentOS/Fedora aureport.