Jak tworzyć raporty z dzienników audytu za pomocą „aureport” w CentOS/RHEL
Ten artykuł jest naszą ciągłą serią na temat audytu systemu Linux. W naszych ostatnich dwóch artykułach wyjaśniliśmy, jak instalować i kontrolować systemy Linux (CentOS i RHEL) oraz jak przeglądać dzienniki za pomocą narzędzie ausearch.
W tej trzeciej części wyjaśnimy, jak generować raporty z plików dziennika audytu za pomocą narzędzia aureport w dystrybucjach Linuksa opartych na CentOS i RHEL.
Przeczytaj także: Jak tworzyć i dostarczać raporty o aktywności systemu za pomocą zestawów narzędzi Linux
Co to jest aureport?
aureport to narzędzie wiersza poleceń służące do tworzenia przydatnych raportów podsumowujących z plików dziennika kontroli przechowywanych w /var/log/audit/. Podobnie jak ausearch, akceptuje również surowe dane dziennika ze standardowego wejścia.
Jest to narzędzie łatwe w użyciu; po prostu podaj opcję określonego rodzaju raportu, którego potrzebujesz, jak pokazano w poniższych przykładach.
Utwórz raport dotyczący kluczy reguł audytu
Komenda aurepot wygeneruje raport na temat wszystkich kluczy określonych w regułach audytu przy użyciu flagi -k
.
aureport -k
Możesz włączyć interpretację jednostek numerycznych na tekst (na przykład konwertować UID na nazwę konta) za pomocą opcji -i
.
aureport -k -i
Utwórz raport o próbach uwierzytelnienia
Jeśli potrzebujesz raportu o wszystkich zdarzeniach związanych z próbami uwierzytelnienia wszystkich użytkowników, użyj opcji -au
.
aureport -au
OR
aureport -au -i
Utwórz raport dotyczący logowania
Opcja -l
informuje program aureport o wygenerowaniu raportu o wszystkich logowaniach w następujący sposób.
Zgłaszaj zdarzenia zakończone niepowodzeniem w systemie
Poniższe polecenie pokazuje, jak zgłosić wszystkie zdarzenia zakończone niepowodzeniem.
aureport --failed
Wygeneruj raport podsumowujący za zadany okres czasu
Możliwe jest także generowanie raportów za zadany okres czasu; -ts
definiuje datę/godzinę początkową, a -te
ustawia datę/godzinę końcową. Zamiast rzeczywistych formatów czasu możesz także użyć słów takich jak teraz, ostatnio, dzisiaj, wczoraj, w tym tygodniu, tydzień temu, w tym miesiącu, w tym roku.
aureport -ts 09/19/2017 15:20:00 -te now --summary -i
OR
aureport -ts yesterday -te now --summary -i
Utwórz raport z innego pliku dziennika audytu
Jeśli chcesz utworzyć raport z innego pliku niż domyślne pliki dziennika w katalogu /var/log/audit, użyj flagi -if
, aby określić plik.
To polecenie raportuje wszystkie logowania zapisane w pliku /var/log/tecmint/hosts/node1.log.
aureport -l -if /var/log/tecmint/hosts/node1.log
Wszystkie opcje i więcej informacji znajdziesz na stronie podręcznika aureport.
man aureport
Poniżej znajduje się lista artykułów dotyczących zarządzania logami i narzędzi do generowania raportów w systemie Linux:
- 4 Dobre narzędzia do monitorowania dzienników Open Source i zarządzania nimi dla systemu Linux
- SARG – generator raportów analizy Squid i narzędzie do monitorowania przepustowości Internetu
- Smem — raportuje zużycie pamięci na proces i na użytkownika w systemie Linux
- Jak zarządzać dziennikami systemowymi (konfigurować, obracać i importować do bazy danych)
W tym samouczku pokazaliśmy, jak generować raporty podsumowujące z plików dziennika audytu w RHEL/CentOS/Fedora. Skorzystaj z sekcji komentarzy poniżej, aby zadać pytania lub podzielić się przemyśleniami na temat tego przewodnika.
Następnie pokażemy, jak przeprowadzić audyt określonego procesu za pomocą narzędzia „autrace”. Do tego czasu nie korzystaj z Tecmint.