Kaip pateikti audito žurnalų užklausą naudojant „ausearch“ įrankį „CentOS/RHEL“.

Paskutiniame straipsnyje paaiškinome, kaip patikrinti RHEL arba CentOS sistemą naudojant audito įrankį. Audito sistema (auditd) yra visapusiška registravimo sistema ir nenaudoja syslog. Jame taip pat yra įrankių rinkinys, skirtas valdyti branduolio audito sistemą, taip pat ieškoti ir rengti ataskaitas pagal informaciją žurnalo failuose.

Šioje mokymo programoje paaiškinsime, kaip naudoti ausearch įrankį norint gauti duomenis iš auditd žurnalo failų RHEL ir CentOS pagrindu veikiančiuose Linux platinimuose.

Taip pat skaitykite: 4 geri atvirojo kodo žurnalų stebėjimo ir valdymo įrankiai, skirti Linux

Kaip minėjome anksčiau, audito sistema turi naudotojo erdvės audito demoną (auditd), kuris renka su sauga susijusią informaciją pagal iš anksto sukonfigūruotas taisykles iš branduolio ir generuoja įrašus žurnalo faile.

Kas yra ausearch?

ausearch yra paprastas komandų eilutės įrankis, naudojamas ieškoti audito demono žurnalo failuose pagal įvykius ir skirtingus paieškos kriterijus, pvz., įvykio identifikatorių, rakto identifikatorių, procesoriaus architektūrą, komandos pavadinimą, pagrindinio kompiuterio pavadinimą, grupės pavadinimą arba grupės ID. , syscall, pranešimai ir ne tik. Ji taip pat priima neapdorotus duomenis iš stdin.

Pagal numatytuosius nustatymus ausearch pateikia užklausą faile /var/log/audit/audit.log, kurį galite peržiūrėti kaip ir bet kurį kitą tekstinį failą.

cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less

Aukščiau pateiktoje ekrano kopijoje galite matyti daug duomenų iš žurnalo failo, todėl sunku gauti konkrečios dominančios informacijos.

Todėl jums reikia ausearch, kuri įgalina efektyviau ir efektyviau ieškoti informacijos naudojant šią sintaksę.

ausearch [options]

Patikrinkite Vykdomo proceso žurnalus Auditd žurnalo faile

Vėliava -p naudojama proceso ID perduoti.

ausearch -p 2317

Patikrinkite nepavykusius prisijungimo bandymus Auditd žurnalo faile

Čia reikia naudoti parinktį -m, kad identifikuotumėte konkrečius pranešimus, ir -sv, kad apibrėžtumėte sėkmės reikšmę.

ausearch -m USER_LOGIN -sv no

Raskite vartotojo veiklą „Auditd“ žurnalo faile

-ua naudojamas perduoti naudotojo vardą.

ausearch -ua tecmint
OR
ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Norėdami pateikti užklausą dėl veiksmų, kuriuos tam tikras vartotojas atliko per tam tikrą laikotarpį, naudokite -ts pradžios datai/laikui ir -te, norėdami nurodyti pabaigos datą/laiką, kaip nurodyta toliau ( atkreipkite dėmesį, kad vietoj faktinio laiko formatų galite naudoti tokius žodžius kaip dabar, neseniai, šiandien, vakar, šią savaitę, prieš savaitę, šį mėnesį, šiais metais, taip pat kontrolinis taškas).

ausearch -ua tecmint -ts yesterday -te now -i

Daugiau pavyzdžių, kaip sistemoje ieškoti tam tikro vartotojo veiksmų.

ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i

Audito žurnaluose raskite naudotojų paskyrų, grupių ir vaidmenų pakeitimus

Jei norite peržiūrėti visus sistemos pakeitimus, susijusius su vartotojų abonementais, grupėmis ir vaidmenimis; nurodykite įvairius kableliais atskirtų pranešimų tipus, kaip nurodyta toliau pateiktoje komandoje (pasirūpinkite kableliais atskirtų pranešimų sąrašu, nepalikite tarpų tarp kablelio ir kito elemento):

ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Ieškokite audito žurnalo failo naudodami rakto reikšmę

Apsvarstykite toliau pateiktą audito taisyklę, kuri registruos visus bandymus pasiekti arba modifikuoti /etc/passwd naudotojų paskyrų duomenų bazę.

auditctl -w /etc/passwd -p rwa -k passwd_changes

Dabar pabandykite atidaryti aukščiau pateiktą failą redaguoti ir uždaryti, kaip nurodyta toliau.

vi /etc/passwd

Vien todėl, kad žinote, kad apie tai buvo įrašytas žurnalo įrašas, galite peržiūrėti paskutines žurnalo failo dalis naudodami uodegos komandą taip:

tail /var/log/audit/audit.log

Ką daryti, jei neseniai buvo įrašyti keli kiti įvykiai, konkrečios informacijos rasti būtų taip sunku, tačiau naudodami ausearch galite perduoti vėliavėlę -k su nurodyta rakto reikšme audito taisyklėje, kad peržiūrėtumėte visus žurnalo pranešimus apie įvykius, susijusius su /etc/passwd failo prieiga arba keitimu.

Taip pat bus rodomi konfigūracijos pakeitimai, atlikti apibrėžiant audito taisykles.

ausearch -k passwd_changes | less

Norėdami gauti daugiau informacijos ir naudojimo parinkčių, skaitykite ausearch vadovo puslapį:

man ausearch

Norėdami sužinoti daugiau apie Linux sistemos auditą ir žurnalų valdymą, perskaitykite šiuos susijusius straipsnius.

  1. Petiti – atvirojo kodo žurnalų analizės įrankis, skirtas Linux SysAdmins
  2. Stebėkite serverio žurnalus realiuoju laiku naudodami „Log.io“ įrankį RHEL/CentOS 7/6
  3. Kaip nustatyti ir valdyti žurnalo sukimąsi naudojant „Logrotate“ sistemoje „Linux“.
  4. lnav – žiūrėkite ir analizuokite „Apache“ žurnalus iš „Linux“ terminalo

Šioje mokymo programoje aprašėme, kaip naudoti ausearch duomenis iš audituoto žurnalo failo RHEL ir CentOS. Jei turite klausimų ar minčių, kuriomis norite pasidalinti, naudokite komentarų skiltį, kad su mumis susisiektumėte.

Kitame straipsnyje paaiškinsime, kaip kurti ataskaitas iš audito žurnalo failų naudojant aureport RHEL/CentOS/Fedora.