Jak tworzyć raporty z dzienników audytu przy użyciu „aureport” na Centos/Rhel

Ten artykuł to nasza bieżąca seria audytu Linux, w naszych dwóch ostatnich artykułach wyjaśniliśmy, jak zainstalować i kontrolować systemy Linux (Centos I Rhel) i jak zapytać dzienniki za pomocą narzędzia Ausearch.

W tej trzeciej części wyjaśnimy, jak generować raporty z plików dziennika audytu za pomocą Aureport użyteczność w Centos I Rhel oparte na rozkładach Linux.

Przeczytaj także: Jak tworzyć i dostarczać raporty z aktywności systemowej za pomocą Linux Toolsetts

Co to jest Aureport?

Aureport to narzędzie wiersza poleceń używane do tworzenia użytecznych raportów podsumowujących z przechowywanych plików dziennika audytu /var/log/audyt/. Tak jak Ausearch, Akceptuje również surowe dane dziennika ze stdin.

Jest to łatwe w użyciu narzędzie; po prostu przejdź opcję dla konkretnego rodzaju raportu, którego potrzebujesz, jak pokazano w poniższych przykładach.

Utwórz raport dotyczący kluczy reguł audytu

aurepot Polecenie stworzy raport o wszystkich klawiszach określonych w regułach audytu, korzystając z -k flaga.

# aureport -k 

Możesz włączyć interpretację liczbowych jednostek w tekst (na przykład przekonwertować UID na nazwę konta) za pomocą -I opcja.

# aureport -k -i 

Utwórz raport na temat próby uwierzytelniania

Jeśli potrzebujesz raportu o wszystkich zdarzeniach związanych z próbą uwierzytelnienia dla wszystkich użytkowników, skorzystaj z -au opcja.

# aureport -au lub # aureport -au -i 

Daj raport dotyczący login

-L Opcja informuje Aureport, aby wygenerował raport wszystkich loginów w następujący sposób.

Zgłoś nieudane zdarzenia w systemie

Poniższe polecenie pokazuje, jak zgłosić wszystkie nieudane zdarzenia.

# Aureport -Failed 

Wygeneruj raport podsumowujący przez dany okres czasu

Możliwe jest również generowanie raportów przez określony okres; -TS definiuje datę/godzinę rozpoczęcia i -te Ustawia datę/czas zakończenia. Możesz także użyć słów takich jak teraz, najnowszy, dziś, wczoraj, w tym tygodniu, tydzień, ten miesiąc, ten rok zamiast faktycznych formatów czasu.

# aureport -ts 09/19/2017 15:20:00 -te teraz - -summary -i lub # aureport -ts wczoraj -summary -i -i 

Udaj raport z różnych plików dziennika audytu

Jeśli chcesz utworzyć raport z innego pliku innego niż domyślne pliki dziennika /var/log/audyt katalog, użyj -Jeśli flaga, aby określić plik.

To polecenie zgłasza wszystkie loginy nagrane w /var/log/tecmint/hosts/node1.dziennik.

# aureport -l -if/var/log/tecMint/hosts/node1.dziennik 

Możesz znaleźć wszystkie opcje i więcej informacji w Aureport Strona Man.

# Man Aureport 

Poniżej znajduje się lista artykułów dotyczących zarządzania dziennikiem i narzędzi generowania raportów w Linux:

1. 4 dobre narzędzia do monitorowania i zarządzania dziennikiem typu open source dla Linux
2. SARG - Generator raportu analizy kałamarnicy i narzędzie do monitorowania przepustowości internetowej
3. SMEM-zgłasza zużycie pamięci na proces i podstawa dla użytkownika w Linux
4. Jak zarządzać dziennikami systemowymi (konfiguruj, obracaj i importowanie do bazy danych)

W tym samouczku pokazaliśmy, jak generować raporty podsumowujące z plików dziennika audytu w RHEL/Centos/Fedora. Skorzystaj z poniższej sekcji komentarza, aby zadać wszelkie pytania lub podziel się przemyśleniami dotyczącymi tego przewodnika.

Następnie pokażemy, jak kontrolować określony proces za pomocą 'AUTRACE„Narzędzie do tego czasu zablokuj się na Tecmint.