Поиск по сайту:

Как запросить журналы аудита с помощью инструмента ausearch в CentOS/RHEL

В нашей последней статье мы объяснили, как проверять систему RHEL или CentOS с помощью утилиты Auditd. Система аудита (auditd) представляет собой комплексную систему журналирования и не использует системный журнал. Он также поставляется с набором инструментов для управления системой аудита ядра, а также для поиска и создания отчетов на основе информации в файлах журналов.

В этом руководстве мы объясним, как использовать инструмент ausearch для получения данных из файлов журналов auditd в дистрибутивах Linux на базе RHEL и CentOS.

Читайте также: 4 хороших инструмента мониторинга и управления журналами с открытым исходным кодом для Linux

Как мы упоминали ранее, система аудита имеет демон аудита пользовательского пространства (auditd), который собирает информацию, связанную с безопасностью, на основе предварительно настроенных правил, из ядра и генерирует записи в файле журнала.

Что такое аузепоиск?

ausearch — это простой инструмент командной строки, используемый для поиска в файлах журналов демона аудита на основе событий и различных критериев поиска, таких как идентификатор события, идентификатор ключа, архитектура ЦП, имя команды, имя хоста, имя группы или идентификатор группы. , системный вызов, сообщения и многое другое. Он также принимает необработанные данные со стандартного ввода.

По умолчанию ausearch запрашивает файл /var/log/audit/audit.log, который можно просмотреть так же, как и любой другой текстовый файл.

cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less

На скриншоте выше вы можете увидеть множество данных из файла журнала, что затрудняет получение конкретной интересующей информации.

Поэтому вам нужен ausearch, который обеспечивает более мощный и эффективный поиск информации, используя следующий синтаксис.

ausearch [options]

Проверьте журналы запуска процессов в файле журнала Auditd

Флаг -p используется для передачи идентификатора процесса.

ausearch -p 2317

Проверьте неудачные попытки входа в файл журнала Auditd

Здесь вам нужно использовать параметр -m для идентификации конкретных сообщений и -sv для определения значения успеха.

ausearch -m USER_LOGIN -sv no

Найдите активность пользователя в файле журнала Auditd

-ua используется для передачи имени пользователя.

ausearch -ua tecmint
OR
ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Чтобы запросить действия, выполненные определенным пользователем за определенный период времени, используйте -ts для даты/времени начала и -te для указания даты/времени окончания следующим образом ( обратите внимание, что вы можете использовать такие слова, как «сейчас», «недавно», «сегодня», «вчера», «на этой неделе», «неделю назад», «в этом месяце», «в этом году», а также «контрольная точка» вместо фактических форматов времени).

ausearch -ua tecmint -ts yesterday -te now -i

Еще примеры по поиску действий данного пользователя в системе.

ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i

Найдите изменения в учетных записях пользователей, группах и ролях в журналах Auditd

Если вы хотите просмотреть все системные изменения, связанные с учетными записями пользователей, группами и ролями; укажите различные типы сообщений, разделенных запятыми, как в команде ниже (следите за списком, разделенным запятыми, не оставляйте пробела между запятой и следующим элементом):

ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Поиск файла журнала Auditd по значению ключа

Рассмотрим приведенное ниже правило аудита, которое будет регистрировать любые попытки доступа или изменения базы данных учетных записей пользователей /etc/passwd.

auditctl -w /etc/passwd -p rwa -k passwd_changes

Теперь попробуйте открыть указанный выше файл для редактирования и закрыть его следующим образом.

vi /etc/passwd

Просто потому, что вы знаете, что об этом была сделана запись в журнале, вы, возможно, просмотрите последние части файла журнала с помощью команды Tail следующим образом:

tail /var/log/audit/audit.log

Что, если недавно было записано несколько других событий, найти конкретную информацию было бы очень сложно, но с помощью ausearch вы можете передать флаг -k с указанным вами значением ключа в правиле аудита для просмотра всех сообщений журнала, касающихся событий, связанных с доступом или изменением файла /etc/passwd.

Это также отобразит внесенные изменения в конфигурации, определяющие правила аудита.

ausearch -k passwd_changes | less

Для получения дополнительной информации и вариантов использования прочитайте справочную страницу ausearch:

man ausearch

Чтобы узнать больше об аудите системы Linux и управлении журналами, прочитайте следующие соответствующие статьи.

  1. Petiti — инструмент анализа журналов с открытым исходным кодом для системных администраторов Linux
  2. Мониторинг журналов сервера в режиме реального времени с помощью инструмента «Log.io» на RHEL/CentOS 7/6.
  3. Как настроить и управлять ротацией журналов с помощью Logrotate в Linux
  4. lnav — просмотр и анализ журналов Apache из терминала Linux

В этом руководстве мы описали, как использовать ausearch для получения данных из файла журнала аудита в RHEL и CentOS. Если у вас есть какие-либо вопросы или мысли, которыми вы хотите поделиться, используйте раздел комментариев, чтобы связаться с нами.

В нашей следующей статье мы объясним, как создавать отчеты из файлов журнала аудита с помощью aureport в RHEL/CentOS/Fedora.