Weboldal keresés

Hogyan készítsünk jelentéseket auditnaplókból az „aureport” használatával a CentOS/RHEL rendszeren

Ez a cikk a Linux Auditingről szóló, folyamatban lévő sorozatunk. Az utolsó két cikkünkben elmagyaráztuk, hogyan telepíthetünk és auditálhatunk Linux rendszereket (CentOS és RHEL), valamint hogyan lehet lekérdezni a naplókat ausearch segédprogram.

Ebben a harmadik részben elmagyarázzuk, hogyan lehet jelentéseket generálni az ellenőrzési naplófájlokból az aureport segédprogrammal CentOS és RHEL alapú Linux disztribúciókban.

Olvassa el még: Rendszertevékenységi jelentések készítése és kézbesítése Linux eszközkészletekkel

Mi az aureport?

Az aureport egy parancssori segédprogram, amellyel hasznos összefoglaló jelentések hozhatók létre a /var/log/audit/ könyvtárban tárolt naplófájlokból. Az ausearch-hoz hasonlóan az stdin nyers naplóadatait is elfogadja.

Ez egy könnyen használható segédprogram; egyszerűen adjon meg egy lehetőséget egy adott típusú jelentéshez, amelyre szüksége van, az alábbi példák szerint.

Készítsen jelentést az ellenőrzési szabálykulcsokról

Az aurepot parancs jelentést készít az ellenőrzési szabályokban megadott összes kulcsról a -k jelző használatával.

aureport -k

A -i kapcsolóval engedélyezheti a numerikus entitások szöveggé értelmezését (például konvertálhatja az UID-t fióknévvé).

aureport -k -i

Készítsen jelentést a hitelesítési kísérletekről

Ha jelentésre van szüksége az összes felhasználó hitelesítési kísérletével kapcsolatos összes eseményről, használja a -au opciót.

aureport -au 
OR
aureport -au -i

Jelentés készítése a bejelentkezésekről

A -l opció arra utasítja az aureportot, hogy minden bejelentkezésről jelentést készítsen az alábbiak szerint.

Sikertelen események jelentése a rendszeren

A következő parancs megmutatja, hogyan jelenthet minden sikertelen eseményt.

aureport --failed

Összefoglaló jelentés készítése egy adott időszakra vonatkozóan

Lehetőség van egy meghatározott időtartamra vonatkozó jelentések készítésére is; a -ts a kezdő dátumot/időt, a -te pedig a befejezési dátumot/időt határozza meg. A tényleges időformátumok helyett használhat olyan szavakat is, mint most, legutóbbi, ma, tegnap, ezen a héten, hete, ebben a hónapban, idén.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i

Készítsen jelentést különböző ellenőrzési naplófájlból

Ha a /var/log/audit könyvtár alapértelmezett naplófájljaitól eltérő fájlból szeretne jelentést készíteni, használja a -if jelzőt a fájl megadásához.

Ez a parancs a /var/log/tecmint/hosts/node1.log fájlban rögzített összes bejelentkezést jelenti.

aureport -l -if /var/log/tecmint/hosts/node1.log

Az összes lehetőséget és további információkat az aureport kézikönyvoldalon talál.

man aureport

Az alábbiakban felsoroljuk azokat a cikkeket, amelyek a naplókezeléssel és a Linux jelentéskészítő eszközeivel foglalkoznak:

  1. 4 Jó nyílt forráskódú naplófigyelő és -kezelő eszközök Linuxhoz
  2. SARG – Squid Analysis Report Generator and Internet Bandwidth Monitoring Tool
  3. Smem – folyamatonkénti és felhasználónkénti memóriafelhasználást jelent Linux alatt
  4. Rendszernaplók kezelése (konfigurálás, elforgatás és adatbázisba importálás)

Ebben az oktatóanyagban bemutattuk, hogyan hozhat létre összefoglaló jelentéseket az RHEL/CentOS/Fedora rendszerben található auditnaplófájlokból. Használja az alábbi megjegyzés szakaszt, ha kérdéseket szeretne feltenni, vagy megoszthatja gondolatait az útmutatóval kapcsolatban.

Ezután megmutatjuk, hogyan auditálhat egy adott folyamatot az „autrace” segédprogrammal, és addig tartsa zárva a Tecmint szolgáltatással.