Sådan oprettes rapporter fra revisionslogfiler ved hjælp af 'aureport' på CentOS/RHEL
Denne artikel er vores igangværende serie om forespørgselslogfiler ved hjælp af ausearch-værktøjet.
I denne tredje del vil vi forklare, hvordan man genererer rapporter fra auditlogfiler ved hjælp af aureport-hjælpeprogrammet i CentOS- og RHEL-baserede Linux-distributioner.
aureport er et kommandolinjeprogram, der bruges til at oprette nyttige resumérapporter fra de auditlogfiler, der er gemt i/var/log/audit /. Ligesom ausearch accepterer det også rå logdata fra stdin.
Det er et brugervenligt værktøj; send blot en mulighed for en bestemt type rapport, som du har brug for, som vist i eksemplerne nedenfor.
Aurepot-kommandoen producerer en rapport om alle nøgler, du har angivet i revisionsregler ved hjælp af -k
-flagget.
# aureport -k
Du kan aktivere fortolkning af numeriske enheder i tekst (for eksempel konvertere UID til kontonavn) ved hjælp af indstillingen -i
.
# aureport -k -i
Hvis du har brug for en rapport om alle begivenheder, der vedrører forsøg på godkendelse for alle brugere, skal du bruge indstillingen -au
.
# aureport -au OR # aureport -au -i
Indstillingen -l
fortæller aureport at generere en rapport med alle login som følger.
Følgende kommando viser, hvordan man rapporterer alle mislykkede begivenheder.
# aureport --failed
Det er også muligt at generere rapporter i en bestemt periode; -ts
definerer startdato/tid og -te
indstiller en slutdato/tid. Du kan også bruge ord som nu, nylig, i dag, i går, denne uge, uge siden, denne måned, i år i stedet for faktiske tidsformater.
# aureport -ts 09/19/2017 15:20:00 -te now --summary -i OR # aureport -ts yesterday -te now --summary -i
Hvis du vil oprette en rapport fra en anden fil end standardlogfilerne i/var/log/audit-biblioteket, skal du bruge flagget -if
til at angive filen.
Denne kommando rapporterer alle logins, der er registreret i /var/log/tecmint/hosts/node1.log.
# aureport -l -if /var/log/tecmint/hosts/node1.log
Du kan finde alle muligheder og mere information på mandsiden til lufthavnen.
# man aureport
Nedenfor er en liste over artikler om loghåndtering og rapportgenereringsværktøjer i Linux:
- 4 gode open source-logovervågnings- og styringsværktøjer til Linux
- SARG - Blæksprutte-analysegenerator og internetbåndbreddemonitoringsværktøj
- Smem - Rapporterer hukommelsesforbrug pr. proces og pr. brugerbasis i Linux
- Sådan styres systemlogfiler (konfigurer, roter og importer til en database)
I denne vejledning viste vi, hvordan man genererer oversigtsrapporter fra auditlogfiler i RHEL/CentOS/Fedora. Brug kommentarsektionen nedenfor til at stille spørgsmål eller dele tanker om denne vejledning.
Dernæst viser vi, hvordan vi reviderer en bestemt proces ved hjælp af 'autrace' -værktøjet, indtil da holdes låst til Tecmint.