Как создавать отчеты из журналов аудита с помощью aureport в CentOS/RHEL
Эта статья представляет собой нашу постоянную серию статей об аудите Linux. В двух последних статьях мы объяснили, как устанавливать и проверять системы Linux (CentOS и RHEL), а также как запрашивать журналы с помощью утилита ausearch.
В этой третьей части мы объясним, как создавать отчеты из файлов журналов аудита с помощью утилиты aureport в дистрибутивах Linux на базе CentOS и RHEL.
Читайте также: как создавать и доставлять отчеты о активности системы с помощью наборов инструментов Linux
Что такое аурепорт?
aureport — это утилита командной строки, используемая для создания полезных сводных отчетов на основе файлов журнала аудита, хранящихся в /var/log/audit/. Как и ausearch, он также принимает необработанные данные журнала со стандартного ввода.
Это простая в использовании утилита; просто передайте параметр для определенного типа отчета, который вам нужен, как показано в примерах ниже.
Создать отчет о ключах правил аудита
Команда aurepot создаст отчет обо всех ключах, указанных вами в правилах аудита, с использованием флага -k
.
aureport -k
Вы можете включить интерпретацию числовых объектов в текст (например, преобразовать UID в имя учетной записи), используя опцию -i
.
aureport -k -i
Создать отчет о попытках аутентификации
Если вам нужен отчет обо всех событиях, связанных с попытками аутентификации для всех пользователей, используйте опцию -au
.
aureport -au
OR
aureport -au -i
Создать отчет о входах в систему
Опция -l
указывает aureport генерировать отчет обо всех входах в систему следующим образом.
Сообщать о сбойных событиях в системе
Следующая команда показывает, как сообщить обо всех неудачных событиях.
aureport --failed
Создать сводный отчет за заданный период времени
Также возможно формирование отчетов за определенный период времени; -ts
определяет дату/время начала, а -te
устанавливает дату/время окончания. Вы также можете использовать такие слова, как «сейчас», «недавно», «сегодня», «вчера», «на этой неделе», «неделю назад», «в этом месяце», «в этом году» вместо фактических форматов времени.
aureport -ts 09/19/2017 15:20:00 -te now --summary -i
OR
aureport -ts yesterday -te now --summary -i
Создание отчета из другого файла журнала аудита
Если вы хотите создать отчет из файла, отличного от файлов журнала по умолчанию в каталоге /var/log/audit, используйте флаг -if
для указания файла.
Эта команда сообщает обо всех входах в систему, записанных в /var/log/tecmint/hosts/node1.log.
aureport -l -if /var/log/tecmint/hosts/node1.log
Все параметры и дополнительную информацию можно найти на странице руководства aureport.
man aureport
Ниже приведен список статей, посвященных управлению журналами и инструментам создания отчетов в Linux:
- 4 хороших инструмента для мониторинга и управления журналами с открытым исходным кодом для Linux
- SARG — Генератор отчетов об анализе Squid и инструмент мониторинга пропускной способности Интернета
- Smem — отчеты о потреблении памяти для каждого процесса и для каждого пользователя в Linux
- Как управлять системными журналами (настройка, ротация и импорт в базу данных)
В этом руководстве мы показали, как создавать сводные отчеты из файлов журнала аудита в RHEL/CentOS/Fedora. Используйте раздел комментариев ниже, чтобы задать любые вопросы или поделиться своими мыслями относительно этого руководства.
Далее мы покажем, как проверять конкретный процесс с помощью утилиты autrace, а до тех пор оставайтесь привязанными к Tecmint.