Kaip sukurti ataskaitas iš audito žurnalų naudojant CentOS/RHEL „aureport“.


Šis straipsnis yra mūsų nuolatinė serija apie Linux auditą. Pastaruosiuose dviejuose straipsniuose paaiškinome, kaip įdiegti ir tikrinti Linux sistemas (CentOS ir RHEL) ir kaip pateikti žurnalų užklausas naudojant ausearch naudingumas.

Šioje trečiojoje dalyje paaiškinsime, kaip generuoti ataskaitas iš audito žurnalo failų, naudojant aureport įrankį CentOS ir RHEL pagrįstuose Linux platinimuose.

Taip pat skaitykite: kaip sukurti ir pateikti sistemos veiklos ataskaitas naudojant „Linux“ įrankių rinkinius

Kas yra aureportas?

aureport yra komandų eilutės priemonė, naudojama kuriant naudingas suvestinės ataskaitas iš audito žurnalo failų, saugomų /var/log/audit/. Kaip ir ausearch, ji taip pat priima neapdorotus žurnalo duomenis iš stdin.

Tai paprasta naudoti priemonė; tiesiog pateikite konkrečios rūšies ataskaitos parinktį, kurios jums reikia, kaip parodyta toliau pateiktuose pavyzdžiuose.

Sukurkite ataskaitą apie audito taisyklių raktus

Komanda aurepot parengs ataskaitą apie visus raktus, kuriuos nurodėte audito taisyklėse, naudodami vėliavėlę -k.

aureport -k 

Galite įjungti skaitmeninių objektų interpretavimą į tekstą (pvz., konvertuoti UID į paskyros pavadinimą) naudodami parinktį -i.

aureport -k -i

Sukurkite ataskaitą apie bandymus atlikti autentifikavimą

Jei jums reikia ataskaitos apie visus įvykius, susijusius su visų vartotojų autentifikavimo bandymais, naudokite parinktį -au.

aureport -au 
OR
aureport -au -i

Sukurkite ataskaitą apie prisijungimus

Parinktis -l nurodo aureport generuoti visų prisijungimų ataskaitą, kaip nurodyta toliau.

Pranešti apie nesėkmingus įvykius sistemoje

Ši komanda parodo, kaip pranešti apie visus nepavykusius įvykius.

aureport --failed

Sukurkite suvestinę tam tikro laikotarpio ataskaitą

Taip pat galima generuoti ataskaitas tam tikram laikotarpiui; -ts apibrėžia pradžios datą/laiką, o -te – pabaigos datą/laiką. Vietoj faktinio laiko formatų taip pat galite naudoti tokius žodžius kaip dabar, neseniai, šiandien, vakar, šią savaitę, prieš savaitę, šį mėnesį, šiais metais.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i 

Sukurkite ataskaitą iš skirtingo audito žurnalo failo

Jei norite sukurti ataskaitą iš kito failo, išskyrus numatytuosius žurnalo failus kataloge /var/log/audit, naudokite žymą -if, kad nurodytumėte failą.

Ši komanda praneša apie visus prisijungimus, įrašytus /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log 

Visas parinktis ir daugiau informacijos rasite aureport vadovo puslapyje.

man aureport

Toliau pateikiamas straipsnių, susijusių su žurnalų valdymu ir ataskaitų generavimo įrankiais sistemoje „Linux“, sąrašas:

  1. 4 Geri atvirojo kodo žurnalų stebėjimo ir valdymo įrankiai, skirti Linux
  2. SARG – kalmarų analizės ataskaitų generatorius ir interneto pralaidumo stebėjimo įrankis
  3. Smem – praneša apie atminties suvartojimą vienam procesui ir vienam vartotojui Linux sistemoje
  4. Kaip tvarkyti sistemos žurnalus (konfigūruoti, pasukti ir importuoti į duomenų bazę)

Šioje pamokoje parodėme, kaip sugeneruoti suvestines ataskaitas iš audito žurnalo failų RHEL/CentOS/Fedora. Jei norite užduoti klausimų arba pasidalinti mintimis apie šį vadovą, naudokite toliau pateiktą komentarų skyrių.

Toliau parodysime, kaip atlikti konkretaus proceso auditą naudojant „autrace“ programą. Iki tol būkite užrakinti „Tecmint“.