Raporttien luominen tarkastuslokeista CentOS/RHEL:n aureportin avulla


Tämä artikkeli on jatkuva sarjamme Linux Auditingista. Kahdessa viimeisessä artikkelissamme olemme selittäneet, kuinka Linux-järjestelmiä asennetaan ja tarkastetaan (CentOS ja RHEL) ja kuinka tehdä kyselyitä lokien avulla ausearch-apuohjelma.

Tässä kolmannessa osassa selitämme, kuinka luodaan raportteja valvontalokitiedostoista aureport-apuohjelman avulla CentOS- ja RHEL-pohjaisissa Linux-jakeluissa.

Lue myös: Järjestelmän toimintaraporttien tuottaminen ja toimittaminen Linuxin työkalusarjoilla

Mikä on aureport?

aureport on komentorivityökalu, jota käytetään hyödyllisten yhteenvetoraporttien luomiseen tarkastuslokitiedostoista, jotka on tallennettu kansioon /var/log/audit/. Kuten ausearch, se hyväksyy myös stdinin raakalokitiedot.

Se on helppokäyttöinen apuohjelma; yksinkertaisesti välitä vaihtoehto tietyntyyppiselle tarvitsemasi raportille, kuten alla olevissa esimerkeissä näytetään.

Luo raportti tarkastussäännön avaimista

aurepot-komento tuottaa raportin kaikista valvontasäännöissä määrittämistäsi avaimista -k-lipun avulla.

aureport -k 

Voit ottaa käyttöön numeeristen entiteettien tulkinnan tekstiksi (esimerkiksi muuntaa UID tilin nimeksi) -i-valinnan avulla.

aureport -k -i

Luo raportti todennusyrityksistä

Jos tarvitset raportin kaikista tapahtumista, jotka liittyvät kaikkien käyttäjien todennusyrityksiin, käytä vaihtoehtoa -au.

aureport -au 
OR
aureport -au -i

Tuota kirjautumisia koskeva raportti

Valinta -l käskee aureportin luomaan raportin kaikista kirjautumisista seuraavasti.

Ilmoita järjestelmän epäonnistuneista tapahtumista

Seuraava komento näyttää, kuinka kaikki epäonnistuneet tapahtumat raportoidaan.

aureport --failed

Luo yhteenvetoraportti tietyltä ajanjaksolta

On myös mahdollista luoda raportteja tietyltä ajanjaksolta; -ts määrittää aloituspäivämäärän/-ajan ja -te määrittää lopetuspäivän/-ajan. Voit myös käyttää sanoja kuten nyt, äskettäin, tänään, eilen, tällä viikolla, viikko sitten, tämä kuukausi, tämä vuosi todellisten aikamuotojen sijasta.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i 

Tuota raportti eri tarkastuslokitiedostosta

Jos haluat luoda raportin muusta tiedostosta kuin oletuslokitiedostoista /var/log/audit-hakemistossa, määritä tiedosto -if-lipulla.

Tämä komento raportoi kaikki kirjautumiset, jotka on tallennettu tiedostoon /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log 

Löydät kaikki vaihtoehdot ja lisätietoja aureport -manuaalisivulta.

man aureport

Alla on luettelo artikkeleista, jotka koskevat lokien hallintaa ja raporttien luontityökaluja Linuxissa:

  1. 4 Hyviä avoimen lähdekoodin lokien seuranta- ja hallintatyökaluja Linuxille
  2. SARG – Squid Analysis Report Generator ja Internet Bandwidth Monitoring Tool
  3. Smem – Raportoi muistinkulutusta prosessi- ja käyttäjäkohtaisesti Linuxissa
  4. Kuinka hallita järjestelmälokeja (määrittää, kiertää ja tuoda tietokantaan)

Tässä opetusohjelmassa näytimme, kuinka luodaan yhteenvetoraportteja tarkastuslokitiedostoista RHEL/CentOS/Fedorassa. Käytä alla olevaa kommenttiosaa esittääksesi kysymyksiä tai jakaaksesi ajatuksia tästä oppaasta.

Seuraavaksi näytämme, kuinka tarkastetaan tietty prosessi autrace-apuohjelmalla. Pysy siihen asti lukittuna Tecmintiin.