Hvordan lage rapporter fra revisjonslogger ved å bruke 'aureport' på CentOS/RHEL
Denne artikkelen er vår pågående serie om Linux-revisjon, i de to siste artiklene våre har vi forklart hvordan du installerer og reviderer Linux-systemer (CentOS og RHEL) og hvordan du spør etter logger ved å bruke ausearch-verktøy.
I denne tredje delen vil vi forklare hvordan du genererer rapporter fra revisjonsloggfiler ved å bruke aureport-verktøyet i CentOS- og RHEL-baserte Linux-distribusjoner.
Les også: Hvordan produsere og levere systemaktivitetsrapporter ved hjelp av Linux-verktøysett
Hva er aureport?
aureport er et kommandolinjeverktøy som brukes til å lage nyttige sammendragsrapporter fra revisjonsloggfilene som er lagret i /var/log/audit/. I likhet med ausearch, godtar den også råloggdata fra stdin.
Det er et lett-å-bruke verktøy; bare send et alternativ for en bestemt type rapport som du trenger, som vist i eksemplene nedenfor.
Opprett rapport om revisjonsregelnøkler
Kommandoen aurepot vil produsere en rapport om alle nøkler du spesifiserte i revisjonsreglene, ved å bruke -k
-flagget.
aureport -k
Du kan aktivere tolkning av numeriske enheter til tekst (for eksempel konvertere UID til kontonavn) ved å bruke -i
-alternativet.
aureport -k -i
Opprett rapport om forsøk på autentisering
Hvis du trenger en rapport om alle hendelser knyttet til forsøk på autentisering for alle brukere, bruk -au
-alternativet.
aureport -au
OR
aureport -au -i
Lag rapport om pålogginger
Alternativet -l
ber aureport generere en rapport over alle pålogginger som følger.
Rapporter mislykkede hendelser på systemet
Følgende kommando viser hvordan du rapporterer alle mislykkede hendelser.
aureport --failed
Generer sammendragsrapport for en gitt tidsperiode
Det er også mulig å generere rapporter for en spesifisert tidsperiode; -ts
definerer startdato/tid og -te
angir en sluttdato/tid. Du kan også bruke ord som nå, nylig, i dag, i går, denne uken, uke siden, denne måneden, i år i stedet for faktiske tidsformater.
aureport -ts 09/19/2017 15:20:00 -te now --summary -i
OR
aureport -ts yesterday -te now --summary -i
Lag rapport fra en annen revisjonsloggfil
Hvis du vil lage en rapport fra en annen fil enn standardloggfilene i katalogen /var/log/audit, bruk -if
-flagget for å spesifisere filen.
Denne kommandoen rapporterer alle pålogginger registrert i /var/log/tecmint/hosts/node1.log.
aureport -l -if /var/log/tecmint/hosts/node1.log
Du finner alle alternativer og mer informasjon på man-siden for aureport.
man aureport
Nedenfor er en liste over artikler om loggadministrasjon og rapportgenereringsverktøy i Linux:
- 4 Gode overvåkings- og administrasjonsverktøy for åpen kildekode for Linux
- SARG – Squid Analysis Report Generator og Internett-båndbreddeovervåkingsverktøy
- Smem – Rapporterer minneforbruk per prosess og per brukerbasis i Linux
- Hvordan administrere systemlogger (konfigurere, rotere og importere til databasen)
I denne opplæringen viste vi hvordan du genererer sammendragsrapporter fra revisjonsloggfiler i RHEL/CentOS/Fedora. Bruk kommentarfeltet nedenfor for å stille spørsmål eller dele tanker angående denne veiledningen.
Deretter viser vi hvordan du reviderer en bestemt prosess ved å bruke «autrace»-verktøyet, inntil da, hold låst til Tecmint.