Raporttien luominen tarkastuslokeista CentOS/RHEL:n aureportin avulla
Tämä artikkeli on jatkuva sarjamme Linux Auditingista. Kahdessa viimeisessä artikkelissamme olemme selittäneet, kuinka Linux-järjestelmiä asennetaan ja tarkastetaan (CentOS ja RHEL) ja kuinka tehdä kyselyitä lokien avulla ausearch-apuohjelma.
Tässä kolmannessa osassa selitämme, kuinka luodaan raportteja valvontalokitiedostoista aureport-apuohjelman avulla CentOS- ja RHEL-pohjaisissa Linux-jakeluissa.
Lue myös: Järjestelmän toimintaraporttien tuottaminen ja toimittaminen Linuxin työkalusarjoilla
Mikä on aureport?
aureport on komentorivityökalu, jota käytetään hyödyllisten yhteenvetoraporttien luomiseen tarkastuslokitiedostoista, jotka on tallennettu kansioon /var/log/audit/. Kuten ausearch, se hyväksyy myös stdinin raakalokitiedot.
Se on helppokäyttöinen apuohjelma; yksinkertaisesti välitä vaihtoehto tietyntyyppiselle tarvitsemasi raportille, kuten alla olevissa esimerkeissä näytetään.
Luo raportti tarkastussäännön avaimista
aurepot-komento tuottaa raportin kaikista valvontasäännöissä määrittämistäsi avaimista -k
-lipun avulla.
aureport -k
Voit ottaa käyttöön numeeristen entiteettien tulkinnan tekstiksi (esimerkiksi muuntaa UID tilin nimeksi) -i
-valinnan avulla.
aureport -k -i
Luo raportti todennusyrityksistä
Jos tarvitset raportin kaikista tapahtumista, jotka liittyvät kaikkien käyttäjien todennusyrityksiin, käytä vaihtoehtoa -au
.
aureport -au
OR
aureport -au -i
Tuota kirjautumisia koskeva raportti
Valinta -l
käskee aureportin luomaan raportin kaikista kirjautumisista seuraavasti.
Ilmoita järjestelmän epäonnistuneista tapahtumista
Seuraava komento näyttää, kuinka kaikki epäonnistuneet tapahtumat raportoidaan.
aureport --failed
Luo yhteenvetoraportti tietyltä ajanjaksolta
On myös mahdollista luoda raportteja tietyltä ajanjaksolta; -ts
määrittää aloituspäivämäärän/-ajan ja -te
määrittää lopetuspäivän/-ajan. Voit myös käyttää sanoja kuten nyt, äskettäin, tänään, eilen, tällä viikolla, viikko sitten, tämä kuukausi, tämä vuosi todellisten aikamuotojen sijasta.
aureport -ts 09/19/2017 15:20:00 -te now --summary -i
OR
aureport -ts yesterday -te now --summary -i
Tuota raportti eri tarkastuslokitiedostosta
Jos haluat luoda raportin muusta tiedostosta kuin oletuslokitiedostoista /var/log/audit-hakemistossa, määritä tiedosto -if
-lipulla.
Tämä komento raportoi kaikki kirjautumiset, jotka on tallennettu tiedostoon /var/log/tecmint/hosts/node1.log.
aureport -l -if /var/log/tecmint/hosts/node1.log
Löydät kaikki vaihtoehdot ja lisätietoja aureport -manuaalisivulta.
man aureport
Alla on luettelo artikkeleista, jotka koskevat lokien hallintaa ja raporttien luontityökaluja Linuxissa:
- 4 Hyviä avoimen lähdekoodin lokien seuranta- ja hallintatyökaluja Linuxille
- SARG – Squid Analysis Report Generator ja Internet Bandwidth Monitoring Tool
- Smem – Raportoi muistinkulutusta prosessi- ja käyttäjäkohtaisesti Linuxissa
- Kuinka hallita järjestelmälokeja (määrittää, kiertää ja tuoda tietokantaan)
Tässä opetusohjelmassa näytimme, kuinka luodaan yhteenvetoraportteja tarkastuslokitiedostoista RHEL/CentOS/Fedorassa. Käytä alla olevaa kommenttiosaa esittääksesi kysymyksiä tai jakaaksesi ajatuksia tästä oppaasta.
Seuraavaksi näytämme, kuinka tarkastetaan tietty prosessi autrace-apuohjelmalla. Pysy siihen asti lukittuna Tecmintiin.