Weboldal keresés

Auditnaplók lekérdezése az „ausearch” eszközzel a CentOS/RHEL rendszeren


Legutóbbi cikkünkben elmagyaráztuk, hogyan lehet auditálni az RHEL vagy CentOS rendszert az auditd segédprogrammal. Az auditrendszer (auditd) egy átfogó naplózási rendszer, és nem használ syslog-ot. Tartalmaz továbbá egy eszközkészletet a kernel-ellenőrző rendszer kezeléséhez, valamint a naplófájlokban található információk kereséséhez és jelentések készítéséhez.

Ebben az oktatóanyagban elmagyarázzuk, hogyan használja az ausearch eszközt az auditd naplófájlokból származó adatok lekérésére RHEL és CentOS alapú Linux disztribúciókon.

Olvassa el még: 4 jó nyílt forráskódú naplófigyelő és -kezelő eszköz Linuxhoz

Amint azt korábban említettük, az auditáló rendszer rendelkezik egy user-space audit démonnal (auditd), amely előre konfigurált szabályok alapján gyűjti össze a biztonsággal kapcsolatos információkat a kernelből és a rendszermagból. bejegyzéseket generál egy naplófájlban.

Mi az ausearch?

Az ausearch egy egyszerű parancssori eszköz, amellyel események és különböző keresési feltételek, például eseményazonosító, kulcsazonosító, CPU-architektúra, parancsnév, gazdagépnév, csoportnév vagy csoportazonosító alapján kereshet az audit démon naplófájljaiban. , syscall, üzenetek és azon túl. Nyers adatokat is elfogad az stdin-től.

Alapértelmezés szerint az ausearch lekérdezi a /var/log/audit/audit.log fájlt, amely ugyanúgy megtekinthető, mint bármely más szövegfájl.

cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less

A fenti képernyőképen sok adatot láthat a naplófájlból, ami megnehezíti az érdekes információk megszerzését.

Ezért szüksége van az ausearchre, amely a következő szintaxis használatával hatékonyabb és hatékonyabb keresést tesz lehetővé.

ausearch [options]

Ellenőrizze a futó folyamatnaplókat az Auditd naplófájlban

A -p jelző a folyamatazonosító átadására szolgál.

ausearch -p 2317

Ellenőrizze a sikertelen bejelentkezési kísérleteket az Auditd naplófájlban

Itt a -m kapcsolót kell használnia bizonyos üzenetek azonosításához, és a -sv kapcsolót a sikerérték meghatározásához.

ausearch -m USER_LOGIN -sv no 

Keresse meg a felhasználói tevékenységet az Auditd naplófájlban

A -ua a felhasználónév átadására szolgál.

ausearch -ua tecmint
OR
ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Egy adott felhasználó által egy adott időszakból végrehajtott műveletek lekérdezéséhez használja a -ts-t a kezdési dátum/idő, a -te pedig a befejezési dátum/idő megadásához az alábbiak szerint ( vegye figyelembe, hogy a tényleges időformátumok helyett használhat olyan szavakat, mint most, legutóbbi, ma, tegnap, ezen a héten, hete, ez a hónap, idén, valamint az ellenőrzőpont).

ausearch -ua tecmint -ts yesterday -te now -i 

További példák egy adott felhasználó műveleteinek keresésére a rendszeren.

ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i

Keresse meg a felhasználói fiókok, csoportok és szerepkörök módosításait az Auditd naplókban

Ha át szeretné tekinteni a felhasználói fiókokkal, csoportokkal és szerepekkel kapcsolatos összes rendszermódosítást; adjon meg különféle vesszővel elválasztott üzenettípusokat az alábbi parancs szerint (vigyázzon a vesszővel tagolt listára, ne hagyjon szóközt a vessző és a következő elem között):

ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Keressen Auditd naplófájlban a kulcsérték használatával

Fontolja meg az alábbi ellenőrzési szabályt, amely naplózza az /etc/passwd felhasználói fiókok adatbázisának elérésére vagy módosítására irányuló minden kísérletet.

auditctl -w /etc/passwd -p rwa -k passwd_changes

Most próbálja meg megnyitni a fenti fájlt szerkesztésre, és zárja be az alábbiak szerint.

vi /etc/passwd

Csak azért, mert tudja, hogy erről naplóbejegyzést rögzítettek, a naplófájl utolsó részeit a következőképpen tekintheti meg a tail paranccsal:

tail /var/log/audit/audit.log

Mi a teendő, ha a közelmúltban több más eseményt is rögzítettek, és olyan nehéz lenne megtalálni a konkrét információkat, de az ausearch használatával átadhatja a -k jelzőt a megadott kulcsértékkel az ellenőrzési szabályban, hogy megtekinthesse az /etc/passwd fájl elérésével vagy módosításával kapcsolatos eseményekre vonatkozó összes naplóüzenetet.

Ez megjeleníti az ellenőrzési szabályokat meghatározó konfigurációs módosításokat is.

ausearch -k passwd_changes | less

További információkért és használati lehetőségekért olvassa el az ausearch man oldalt:

man ausearch

Ha többet szeretne megtudni a Linux rendszernaplózásról és a naplókezelésről, olvassa el az alábbi kapcsolódó cikkeket.

  1. Petiti – Nyílt forráskódú naplóelemző eszköz Linux SysAdmins számára
  2. A szervernaplók valós idejű megfigyelése a „Log.io” eszközzel az RHEL/CentOS 7/6 rendszeren
  3. A naplóforgatás beállítása és kezelése a Logrotate használatával Linux alatt
  4. lnav – Az Apache naplók megtekintése és elemzése Linux terminálról

Ebben az oktatóanyagban leírtuk, hogyan lehet az ausearch segítségével lekérni az adatokat egy auditált naplófájlból RHEL és CentOS rendszeren. Ha bármilyen kérdése vagy gondolata van megosztani, használja a megjegyzés rovatot, hogy kapcsolatba lépjen velünk.

Következő cikkünkben elmagyarázzuk, hogyan lehet jelentéseket készíteni az ellenőrzési naplófájlokból az aureport segítségével az RHEL/CentOS/Fedora rendszerben.