Tarkastuslokien kyselyn tekeminen CentOS/RHEL:n ausearch-työkalulla

Viimeisessä artikkelissamme olemme selittäneet, kuinka RHEL- tai CentOS-järjestelmä voidaan tarkastaa auditd-apuohjelman avulla. Tarkastusjärjestelmä (auditd) on kattava lokijärjestelmä, eikä se käytä syslogia. Sen mukana tulee myös työkalusarja ytimen valvontajärjestelmän hallintaan sekä raporttien etsimiseen ja tuottamiseen lokitiedostojen tiedoista.

Tässä opetusohjelmassa selitämme, kuinka ausearch-työkalun avulla voit noutaa tietoja auditd-lokitiedostoista RHEL- ja CentOS-pohjaisissa Linux-jakeluissa.

Lue myös: 4 hyvää avoimen lähdekoodin lokien seuranta- ja hallintatyökalua Linuxille

Kuten aiemmin mainitsimme, valvontajärjestelmässä on user-space auditointidaemon (auditd), joka kerää turvallisuuteen liittyviä tietoja ennalta määritettyjen sääntöjen perusteella ytimestä ja luo merkintöjä lokitiedostoon.

Mikä on ausearch?

ausearch on yksinkertainen komentorivityökalu, jota käytetään etsimään auditointidaemonin lokitiedostoja tapahtumien ja erilaisten hakuehtojen, kuten tapahtumatunnisteen, avaimen tunnisteen, suorittimen arkkitehtuuri, komennon nimi, isäntänimi, ryhmän nimi tai ryhmätunnus, perusteella. , syscall, viestit ja muut. Se hyväksyy myös raakadataa stdinistä.

Oletuksena ausearch kysyy /var/log/audit/audit.log-tiedostosta, jota voit tarkastella aivan kuten mitä tahansa tekstitiedostoa.

cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less

Yllä olevasta kuvakaappauksesta näet paljon tietoja lokitiedostosta, mikä vaikeuttaa tiettyjen kiinnostavien tietojen saamista.

Siksi tarvitset ausearchin, joka mahdollistaa tiedon etsimisen tehokkaammin ja tehokkaammin seuraavan syntaksin avulla.

ausearch [options]

Tarkista käynnissä olevat prosessilokit Auditd-lokitiedostossa

Lippua -p käytetään välittämään prosessitunnus.

ausearch -p 2317

Tarkista epäonnistuneet kirjautumisyritykset Auditd-lokitiedostosta

Tässä sinun on käytettävä -m-vaihtoehtoa tiettyjen viestien tunnistamiseen ja -sv-vaihtoehtoa onnistumisarvon määrittämiseen.

ausearch -m USER_LOGIN -sv no

Etsi käyttäjän toiminta Auditd-lokitiedostosta

-ua-merkkiä käytetään käyttäjätunnuksen välittämiseen.

ausearch -ua tecmint
OR
ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Tietyn käyttäjän tietyltä ajanjaksolta tekemiä toimintoja varten käytä -ts-komentoa aloituspäivämäärä/aika ja -te lopetuspäivämäärä/aika määrittämään seuraavasti ( Huomaa, että voit käyttää sanoja kuten nyt, äskettäin, tänään, eilen, tällä viikolla, viikko sitten, tämä kuukausi, tämä vuosi sekä tarkistuspiste todellisten aikamuotojen sijaan).

ausearch -ua tecmint -ts yesterday -te now -i

Lisää esimerkkejä tietyn käyttäjän toimintojen etsimisestä järjestelmästä.

ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i

Etsi käyttäjätileihin, ryhmiin ja rooleihin tehdyt muutokset Auditd-lokeista

Jos haluat tarkastella kaikkia käyttäjätileihin, ryhmiin ja rooleihin liittyviä järjestelmämuutoksia; määritä erilaiset pilkuilla erotetut viestityypit kuten alla olevassa komennossa (huolehdi pilkuilla erotetusta luettelosta, älä jätä välilyöntiä pilkun ja seuraavan kohteen väliin):

ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Hae Auditd-lokitiedostoa käyttämällä avainarvoa

Harkitse alla olevaa valvontasääntöä, joka kirjaa kaikki yritykset käyttää tai muokata /etc/passwd-käyttäjätilitietokantaa.

auditctl -w /etc/passwd -p rwa -k passwd_changes

Yritä nyt avata yllä oleva tiedosto muokkausta varten ja sulje se seuraavasti.

vi /etc/passwd

Vain koska tiedät, että tästä on tallennettu lokimerkintä, voit mahdollisesti tarkastella lokitiedoston viimeisiä osia tail-komennolla seuraavasti:

tail /var/log/audit/audit.log

Entä jos useita muita tapahtumia on äskettäin tallennettu, tiettyjen tietojen löytäminen olisi niin vaikeaa, mutta ausearchin avulla voit välittää -k-lipun määrittämäsi avainarvon kanssa tarkastussäännössä nähdäksesi kaikki lokiviestit tapahtumista, jotka liittyvät /etc/passwd-tiedoston käyttöön tai muokkaamiseen.

Tämä näyttää myös konfiguraatiomuutokset, jotka on tehty valvontasääntöjen määrittelemiseksi.

ausearch -k passwd_changes | less

Lisätietoja ja käyttövaihtoehtoja on ausearch-manuaalisivulla:

man ausearch

Saat lisätietoja Linux-järjestelmän tarkastuksesta ja lokien hallinnasta lukemalla seuraavat aiheeseen liittyvät artikkelit.

  1. Petiti – avoimen lähdekoodin lokianalyysityökalu Linux SysAdminsille
  2. Tarkkaile palvelimen lokeja reaaliajassa "Log.io" -työkalulla RHEL/CentOS 7/6:ssa
  3. Kuinka määrittää ja hallita lokin kiertoa Logrotatella Linuxissa
  4. lnav – Katsele ja analysoi Apache-lokeja Linux-päätteestä

Tässä opetusohjelmassa kuvailimme, kuinka ausearchia käytetään tietojen hakemiseen auditoidusta lokitiedostosta RHEL:ssä ja CentOS:ssä. Jos sinulla on kysyttävää tai ajatuksia jakaa, käytä kommenttiosiota ottaaksesi meihin yhteyttä.

Seuraavassa artikkelissamme selitämme, kuinka voit luoda raportteja tarkastuslokitiedostoista aureportin avulla RHEL/CentOS/Fedorassa.