Hvordan lage rapporter fra revisjonslogger ved å bruke 'aureport' på CentOS/RHEL

Denne artikkelen er vår pågående serie om Linux-revisjon, i de to siste artiklene våre har vi forklart hvordan du installerer og reviderer Linux-systemer (CentOS og RHEL) og hvordan du spør etter logger ved å bruke ausearch-verktøy.

I denne tredje delen vil vi forklare hvordan du genererer rapporter fra revisjonsloggfiler ved å bruke aureport-verktøyet i CentOS- og RHEL-baserte Linux-distribusjoner.

Les også: Hvordan produsere og levere systemaktivitetsrapporter ved hjelp av Linux-verktøysett

Hva er aureport?

aureport er et kommandolinjeverktøy som brukes til å lage nyttige sammendragsrapporter fra revisjonsloggfilene som er lagret i /var/log/audit/. I likhet med ausearch, godtar den også råloggdata fra stdin.

Det er et lett-å-bruke verktøy; bare send et alternativ for en bestemt type rapport som du trenger, som vist i eksemplene nedenfor.

Opprett rapport om revisjonsregelnøkler

Kommandoen aurepot vil produsere en rapport om alle nøkler du spesifiserte i revisjonsreglene, ved å bruke -k-flagget.

aureport -k

Du kan aktivere tolkning av numeriske enheter til tekst (for eksempel konvertere UID til kontonavn) ved å bruke -i-alternativet.

aureport -k -i

Opprett rapport om forsøk på autentisering

Hvis du trenger en rapport om alle hendelser knyttet til forsøk på autentisering for alle brukere, bruk -au-alternativet.

aureport -au 
OR
aureport -au -i

Lag rapport om pålogginger

Alternativet -l ber aureport generere en rapport over alle pålogginger som følger.

Rapporter mislykkede hendelser på systemet

Følgende kommando viser hvordan du rapporterer alle mislykkede hendelser.

aureport --failed

Generer sammendragsrapport for en gitt tidsperiode

Det er også mulig å generere rapporter for en spesifisert tidsperiode; -ts definerer startdato/tid og -te angir en sluttdato/tid. Du kan også bruke ord som nå, nylig, i dag, i går, denne uken, uke siden, denne måneden, i år i stedet for faktiske tidsformater.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i

Lag rapport fra en annen revisjonsloggfil

Hvis du vil lage en rapport fra en annen fil enn standardloggfilene i katalogen /var/log/audit, bruk -if-flagget for å spesifisere filen.

Denne kommandoen rapporterer alle pålogginger registrert i /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log

Du finner alle alternativer og mer informasjon på man-siden for aureport.

man aureport

Nedenfor er en liste over artikler om loggadministrasjon og rapportgenereringsverktøy i Linux:

  1. 4 Gode overvåkings- og administrasjonsverktøy for åpen kildekode for Linux
  2. SARG – Squid Analysis Report Generator og Internett-båndbreddeovervåkingsverktøy
  3. Smem – Rapporterer minneforbruk per prosess og per brukerbasis i Linux
  4. Hvordan administrere systemlogger (konfigurere, rotere og importere til databasen)

I denne opplæringen viste vi hvordan du genererer sammendragsrapporter fra revisjonsloggfiler i RHEL/CentOS/Fedora. Bruk kommentarfeltet nedenfor for å stille spørsmål eller dele tanker angående denne veiledningen.

Deretter viser vi hvordan du reviderer en bestemt prosess ved å bruke «autrace»-verktøyet, inntil da, hold låst til Tecmint.