Поиск по сайту:

Как создавать отчеты из журналов аудита с помощью aureport в CentOS/RHEL

Эта статья представляет собой нашу постоянную серию статей об аудите Linux. В двух последних статьях мы объяснили, как устанавливать и проверять системы Linux (CentOS и RHEL), а также как запрашивать журналы с помощью утилита ausearch.

В этой третьей части мы объясним, как создавать отчеты из файлов журналов аудита с помощью утилиты aureport в дистрибутивах Linux на базе CentOS и RHEL.

Читайте также: как создавать и доставлять отчеты о активности системы с помощью наборов инструментов Linux

Что такое аурепорт?

aureport — это утилита командной строки, используемая для создания полезных сводных отчетов на основе файлов журнала аудита, хранящихся в /var/log/audit/. Как и ausearch, он также принимает необработанные данные журнала со стандартного ввода.

Это простая в использовании утилита; просто передайте параметр для определенного типа отчета, который вам нужен, как показано в примерах ниже.

Создать отчет о ключах правил аудита

Команда aurepot создаст отчет обо всех ключах, указанных вами в правилах аудита, с использованием флага -k.

aureport -k

Вы можете включить интерпретацию числовых объектов в текст (например, преобразовать UID в имя учетной записи), используя опцию -i.

aureport -k -i

Создать отчет о попытках аутентификации

Если вам нужен отчет обо всех событиях, связанных с попытками аутентификации для всех пользователей, используйте опцию -au.

aureport -au 
OR
aureport -au -i

Создать отчет о входах в систему

Опция -l указывает aureport генерировать отчет обо всех входах в систему следующим образом.

Сообщать о сбойных событиях в системе

Следующая команда показывает, как сообщить обо всех неудачных событиях.

aureport --failed

Создать сводный отчет за заданный период времени

Также возможно формирование отчетов за определенный период времени; -ts определяет дату/время начала, а -te устанавливает дату/время окончания. Вы также можете использовать такие слова, как «сейчас», «недавно», «сегодня», «вчера», «на этой неделе», «неделю назад», «в этом месяце», «в этом году» вместо фактических форматов времени.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i

Создание отчета из другого файла журнала аудита

Если вы хотите создать отчет из файла, отличного от файлов журнала по умолчанию в каталоге /var/log/audit, используйте флаг -if для указания файла.

Эта команда сообщает обо всех входах в систему, записанных в /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log

Все параметры и дополнительную информацию можно найти на странице руководства aureport.

man aureport

Ниже приведен список статей, посвященных управлению журналами и инструментам создания отчетов в Linux:

  1. 4 хороших инструмента для мониторинга и управления журналами с открытым исходным кодом для Linux
  2. SARG — Генератор отчетов об анализе Squid и инструмент мониторинга пропускной способности Интернета
  3. Smem — отчеты о потреблении памяти для каждого процесса и для каждого пользователя в Linux
  4. Как управлять системными журналами (настройка, ротация и импорт в базу данных)

В этом руководстве мы показали, как создавать сводные отчеты из файлов журнала аудита в RHEL/CentOS/Fedora. Используйте раздел комментариев ниже, чтобы задать любые вопросы или поделиться своими мыслями относительно этого руководства.

Далее мы покажем, как проверять конкретный процесс с помощью утилиты autrace, а до тех пор оставайтесь привязанными к Tecmint.