Wyszukiwanie w witrynie

Jak tworzyć raporty z dzienników audytu za pomocą „aureport” w CentOS/RHEL

Ten artykuł jest naszą ciągłą serią na temat audytu systemu Linux. W naszych ostatnich dwóch artykułach wyjaśniliśmy, jak instalować i kontrolować systemy Linux (CentOS i RHEL) oraz jak przeglądać dzienniki za pomocą narzędzie ausearch.

W tej trzeciej części wyjaśnimy, jak generować raporty z plików dziennika audytu za pomocą narzędzia aureport w dystrybucjach Linuksa opartych na CentOS i RHEL.

Przeczytaj także: Jak tworzyć i dostarczać raporty o aktywności systemu za pomocą zestawów narzędzi Linux

Co to jest aureport?

aureport to narzędzie wiersza poleceń służące do tworzenia przydatnych raportów podsumowujących z plików dziennika kontroli przechowywanych w /var/log/audit/. Podobnie jak ausearch, akceptuje również surowe dane dziennika ze standardowego wejścia.

Jest to narzędzie łatwe w użyciu; po prostu podaj opcję określonego rodzaju raportu, którego potrzebujesz, jak pokazano w poniższych przykładach.

Utwórz raport dotyczący kluczy reguł audytu

Komenda aurepot wygeneruje raport na temat wszystkich kluczy określonych w regułach audytu przy użyciu flagi -k.

aureport -k

Możesz włączyć interpretację jednostek numerycznych na tekst (na przykład konwertować UID na nazwę konta) za pomocą opcji -i.

aureport -k -i

Utwórz raport o próbach uwierzytelnienia

Jeśli potrzebujesz raportu o wszystkich zdarzeniach związanych z próbami uwierzytelnienia wszystkich użytkowników, użyj opcji -au.

aureport -au 
OR
aureport -au -i

Utwórz raport dotyczący logowania

Opcja -l informuje program aureport o wygenerowaniu raportu o wszystkich logowaniach w następujący sposób.

Zgłaszaj zdarzenia zakończone niepowodzeniem w systemie

Poniższe polecenie pokazuje, jak zgłosić wszystkie zdarzenia zakończone niepowodzeniem.

aureport --failed

Wygeneruj raport podsumowujący za zadany okres czasu

Możliwe jest także generowanie raportów za zadany okres czasu; -ts definiuje datę/godzinę początkową, a -te ustawia datę/godzinę końcową. Zamiast rzeczywistych formatów czasu możesz także użyć słów takich jak teraz, ostatnio, dzisiaj, wczoraj, w tym tygodniu, tydzień temu, w tym miesiącu, w tym roku.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i

Utwórz raport z innego pliku dziennika audytu

Jeśli chcesz utworzyć raport z innego pliku niż domyślne pliki dziennika w katalogu /var/log/audit, użyj flagi -if, aby określić plik.

To polecenie raportuje wszystkie logowania zapisane w pliku /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log

Wszystkie opcje i więcej informacji znajdziesz na stronie podręcznika aureport.

man aureport

Poniżej znajduje się lista artykułów dotyczących zarządzania logami i narzędzi do generowania raportów w systemie Linux:

  1. 4 Dobre narzędzia do monitorowania dzienników Open Source i zarządzania nimi dla systemu Linux
  2. SARG – generator raportów analizy Squid i narzędzie do monitorowania przepustowości Internetu
  3. Smem — raportuje zużycie pamięci na proces i na użytkownika w systemie Linux
  4. Jak zarządzać dziennikami systemowymi (konfigurować, obracać i importować do bazy danych)

W tym samouczku pokazaliśmy, jak generować raporty podsumowujące z plików dziennika audytu w RHEL/CentOS/Fedora. Skorzystaj z sekcji komentarzy poniżej, aby zadać pytania lub podzielić się przemyśleniami na temat tego przewodnika.

Następnie pokażemy, jak przeprowadzić audyt określonego procesu za pomocą narzędzia „autrace”. Do tego czasu nie korzystaj z Tecmint.