Kuinka kysyä tarkastuslokeja käyttämällä CentOS/RHEL: n ausearch-työkalua
Viimeisessä artikkelissamme olemme selittäneet RHEL- tai CentOS-järjestelmän auditointia auditd-apuohjelman avulla. Tarkastusjärjestelmä (auditd) on kattava kirjausjärjestelmä, eikä siinä käytetä syslogia. Sen mukana tulee myös työkalupaketti ytimen tarkastusjärjestelmän hallintaan sekä raporttien etsimiseen ja tuottamiseen lokitiedostojen tiedoista.
Tässä opetusohjelmassa kerrotaan, miten ausearch-työkalun avulla voit noutaa tietoja auditd-lokitiedostoista RHEL- ja CentOS-pohjaisiin Linux-jakeluihin.
Kuten aiemmin mainitsimme, tarkastusjärjestelmässä on käyttäjä-tilan tarkastusdemon (auditd), joka kerää ytimestä tietoturvaan liittyvät tiedot ennalta määritettyjen sääntöjen perusteella ja luo merkinnät lokitiedostoon.
ausearch on yksinkertainen komentorivityökalu, jota käytetään etsimään tarkastusdemon-lokitiedostoja tapahtumien ja erilaisten hakukriteerien perusteella, kuten tapahtuman tunniste, avaimen tunniste, suorittimen arkkitehtuuri, komennon nimi, isäntänimi, ryhmän nimi tai ryhmän tunnus, syscall, viestit ja muut. Se hyväksyy myös raakatiedot stdiniltä.
Oletusarvoisesti ausearch kysyy tiedostoa /var/log/audit/audit.log, jota voit tarkastella kuten mitä tahansa muuta tekstitiedostoa.
# cat /var/log/audit/audit.log OR # cat /var/log/audit/audit.log | less
Yllä olevasta kuvakaappauksesta näet paljon lokitiedoston tietoja, mikä vaikeuttaa erityisten kiinnostavien tietojen saamista.
Siksi tarvitset ausearchia, joka mahdollistaa tietojen etsimisen tehokkaammalla ja tehokkaammalla tavalla seuraavan syntaksin avulla.
# ausearch [options]
Lippua -p käytetään prosessitunnuksen välittämiseen.
# ausearch -p 2317
Tässä sinun on käytettävä -m -vaihtoehtoa tiettyjen viestien tunnistamiseen ja -sv onnistumisarvon määrittämiseen.
# ausearch -m USER_LOGIN -sv no
-Ua käytetään käyttäjänimen välittämiseen.
# ausearch -ua tecmint OR # ausearch -ua tecmint -i # enable interpreting of numeric entities into text.
Jos haluat kysyä tietyn käyttäjän tietyltä ajanjaksolta suorittamia toimintoja, käytä aloituspäivämäärää/kellonaikaa -ts -merkillä ja lopetuspäivämäärän/kellonajan määrittämiseen -te -toiminnolla seuraavasti ( Huomaa, että todellisten aikamuotojen sijaan voit käyttää sanoja, kuten nyt, viimeaikainen, tänään, eilen, tämä viikko, viikko sitten, tämä kuukausi, tämä vuosi sekä tarkistuspiste).
# ausearch -ua tecmint -ts yesterday -te now -i
Lisää esimerkkejä tietyn käyttäjän toimien etsimisestä järjestelmässä.
# ausearch -ua 1000 -ts this-week -i # ausearch -ua tecmint -m USER_LOGIN -sv no -i
Jos haluat tarkistaa kaikki järjestelmät muutokset, jotka liittyvät käyttäjätileihin, ryhmiin ja rooleihin; määritä useita pilkuilla erotettuja viestityyppejä alla olevan komennon mukaisesti (huolehdi pilkuilla erotetusta luettelosta, jätä tilaa pilkun ja seuraavan kohteen välille)
# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE -i
Harkitse alla olevaa tarkastussääntöä, joka kirjaa kaikki yritykset käyttää/muokata/etc/passwd -käyttäjätilitietokantaa.
# auditctl -w /etc/passwd -p rwa -k passwd_changes
Yritä nyt avata yllä oleva tiedosto muokkausta varten ja sulkea se seuraavasti.
# vi /etc/passwd
Vain siksi, että tiedät, että tästä on kirjattu lokimerkintää, voit tarkastella lokitiedoston viimeisiä osia tail-komennolla seuraavasti:
# tail /var/log/audit/audit.log
Entä jos useita muita tapahtumia on äskettäin kirjattu, erityistietojen löytäminen olisi niin vaikeaa, mutta ausearchin avulla voit välittää -k -lipun tarkastussäännössä määrittämälläsi avainarvolla nähdäksesi kaikki lokiviestit tapahtumista, jotka liittyvät/etc/passwd-tiedoston käyttämiseen tai muokkaamiseen.
Tämä näyttää myös tehdyt kokoonpanomuutokset, jotka määrittelevät tarkastussäännöt.
# ausearch -k passwd_changes | less
Lisätietoja ja käyttömahdollisuudet ovat ausearch man -sivulla:
# man ausearch
Jos haluat tietää enemmän Linux-järjestelmän valvonnasta ja lokin hallinnasta, lue nämä seuraavat aiheeseen liittyvät artikkelit.
- Petiti - avoimen lähdekoodin lokianalyysityökalu Linux SysAdminsille
- Tarkkaile palvelinlokeja reaaliajassa Log.io-työkalulla RHEL/CentOS 7/6: lla
- Lokikierron määrittäminen ja hallinta Logrotaten avulla Linuxissa
- lnav - Tarkastele ja analysoi Apache-lokeja Linux-päätelaitteesta
Tässä opetusohjelmassa kuvattiin, miten ausearchin avulla tietoja voidaan hakea auditd-lokitiedostosta RHEL: llä ja CentOS: lla. Jos sinulla on kysyttävää tai ajatuksia jakaa, käytä kommentti-osiota päästäksesi meihin.
Seuraavassa artikkelissamme kerromme, kuinka raportteja luodaan tarkastuslokitiedostoista käyttämällä aureport-ohjelmaa RHEL/CentOS/Fedorassa.