Cum se creează rapoarte din jurnalele de audit folosind „aureport” pe CentOS/RHEL

Acest articol este seria noastră în curs de desfășurare despre Auditul Linux, în ultimele noastre două articole am explicat cum să instalăm și să audităm sistemele Linux (CentOS și RHEL) și cum să interogăm jurnalele folosind utilitar ausearch.

În această a treia parte, vom explica cum să generați rapoarte din fișierele jurnal de audit folosind utilitarul aureport în distribuțiile Linux bazate pe CentOS și RHEL.

Citiți și: Cum să produceți și să furnizați rapoarte de activitate a sistemului utilizând seturile de instrumente Linux

Ce este aureport?

aureport este un utilitar de linie de comandă folosit pentru a crea rapoarte rezumative utile din fișierele jurnal de audit stocate în /var/log/audit/. La fel ca ausearch, acceptă și date de jurnal brute de la stdin.

Este un utilitar ușor de utilizat; pur și simplu transmiteți o opțiune pentru un anumit tip de raport de care aveți nevoie, așa cum se arată în exemplele de mai jos.

Creați un raport privind cheile regulilor de audit

Comanda aurepot va produce un raport despre toate cheile pe care le-ați specificat în regulile de audit, folosind indicatorul -k.

aureport -k

Puteți activa interpretarea entităților numerice în text (de exemplu, convertiți UID în nume de cont) utilizând opțiunea -i.

aureport -k -i

Creați un raport despre încercările de autentificare

Dacă aveți nevoie de un raport despre toate evenimentele legate de încercările de autentificare pentru toți utilizatorii, utilizați opțiunea -au.

aureport -au 
OR
aureport -au -i

Produceți un raport privind autentificarea

Opțiunea -l îi spune aureport să genereze un raport cu toate conectările, după cum urmează.

Raportați evenimentele eșuate pe sistem

Următoarea comandă arată cum să raportați toate evenimentele eșuate.

aureport --failed

Generați un raport de rezumat pentru o perioadă de timp dată

De asemenea, este posibil să se genereze rapoarte pentru o anumită perioadă de timp; -ts definește data/ora de început și -te setează o dată/ora de încheiere. De asemenea, puteți folosi cuvinte precum acum, recent, astăzi, ieri, săptămâna aceasta, săptămâna în urmă, luna aceasta, anul acesta în loc de formate de timp reale.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i

Produceți un raport dintr-un fișier jurnal de audit diferit

Dacă doriți să creați un raport dintr-un alt fișier decât fișierele jurnal implicite din directorul /var/log/audit, utilizați indicatorul -if pentru a specifica fișierul.

Această comandă raportează toate conectările înregistrate în /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log

Puteți găsi toate opțiunile și mai multe informații în pagina de manual aureport.

man aureport

Mai jos este o listă de articole referitoare la gestionarea jurnalelor și instrumentele de generare a rapoartelor în Linux:

  1. 4 instrumente bune de monitorizare și gestionare a jurnalelor open source pentru Linux
  2. SARG – Generator de rapoarte de analiză a calmarului și instrument de monitorizare a lățimii de bandă pe internet
  3. Smem – Raportează consumul de memorie per proces și pe bază de utilizator în Linux
  4. Cum să gestionați jurnalele de sistem (configurați, rotiți și importați în baza de date)

În acest tutorial, am arătat cum să generați rapoarte rezumative din fișierele jurnal de audit în RHEL/CentOS/Fedora. Utilizați secțiunea de comentarii de mai jos pentru a pune întrebări sau pentru a împărtăși orice gânduri cu privire la acest ghid.

În continuare, vă vom arăta cum să auditați un anumit proces folosind utilitarul „autrace”, până atunci, rămâneți blocat pe Tecmint.