Sådan oprettes rapporter fra revisionslogfiler ved hjælp af 'aureport' på CentOS/RHEL


Denne artikel er vores igangværende serie om forespørgselslogfiler ved hjælp af ausearch-værktøjet.

I denne tredje del vil vi forklare, hvordan man genererer rapporter fra auditlogfiler ved hjælp af aureport-hjælpeprogrammet i CentOS- og RHEL-baserede Linux-distributioner.

aureport er et kommandolinjeprogram, der bruges til at oprette nyttige resumérapporter fra de auditlogfiler, der er gemt i/var/log/audit /. Ligesom ausearch accepterer det også rå logdata fra stdin.

Det er et brugervenligt værktøj; send blot en mulighed for en bestemt type rapport, som du har brug for, som vist i eksemplerne nedenfor.

Aurepot-kommandoen producerer en rapport om alle nøgler, du har angivet i revisionsregler ved hjælp af -k -flagget.

# aureport -k 

Du kan aktivere fortolkning af numeriske enheder i tekst (for eksempel konvertere UID til kontonavn) ved hjælp af indstillingen -i .

# aureport -k -i

Hvis du har brug for en rapport om alle begivenheder, der vedrører forsøg på godkendelse for alle brugere, skal du bruge indstillingen -au .

# aureport -au 
OR
# aureport -au -i

Indstillingen -l fortæller aureport at generere en rapport med alle login som følger.

Følgende kommando viser, hvordan man rapporterer alle mislykkede begivenheder.

# aureport --failed

Det er også muligt at generere rapporter i en bestemt periode; -ts definerer startdato/tid og -te indstiller en slutdato/tid. Du kan også bruge ord som nu, nylig, i dag, i går, denne uge, uge siden, denne måned, i år i stedet for faktiske tidsformater.

# aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
# aureport -ts yesterday -te now --summary -i 

Hvis du vil oprette en rapport fra en anden fil end standardlogfilerne i/var/log/audit-biblioteket, skal du bruge flagget -if til at angive filen.

Denne kommando rapporterer alle logins, der er registreret i /var/log/tecmint/hosts/node1.log.

# aureport -l -if /var/log/tecmint/hosts/node1.log 

Du kan finde alle muligheder og mere information på mandsiden til lufthavnen.

# man aureport

Nedenfor er en liste over artikler om loghåndtering og rapportgenereringsværktøjer i Linux:

  1. 4 gode open source-logovervågnings- og styringsværktøjer til Linux
  2. SARG - Blæksprutte-analysegenerator og internetbåndbreddemonitoringsværktøj
  3. Smem - Rapporterer hukommelsesforbrug pr. proces og pr. brugerbasis i Linux
  4. Sådan styres systemlogfiler (konfigurer, roter og importer til en database)

I denne vejledning viste vi, hvordan man genererer oversigtsrapporter fra auditlogfiler i RHEL/CentOS/Fedora. Brug kommentarsektionen nedenfor til at stille spørgsmål eller dele tanker om denne vejledning.

Dernæst viser vi, hvordan vi reviderer en bestemt proces ved hjælp af 'autrace' -værktøjet, indtil da holdes låst til Tecmint.