Com consultar els registres d'auditoria mitjançant l'eina ausearch a CentOS/RHEL


En el nostre darrer article, hem explicat com auditar el sistema RHEL o CentOS mitjançant la utilitat auditd. El sistema d'auditoria (auditd) és un sistema de registre complet i no utilitza syslog per a això. També inclou un conjunt d'eines per gestionar el sistema d'auditoria del nucli, així com per cercar i produir informes a partir de la informació dels fitxers de registre.

En aquest tutorial, explicarem com utilitzar l'eina ausearch per recuperar dades dels fitxers de registre d'auditoria en distribucions Linux basades en RHEL i CentOS.

Com hem esmentat anteriorment, el sistema d'auditoria té un dimoni d'auditoria de l'espai d'usuari (auditd) que recopila informació relacionada amb la seguretat basada en regles preconfigurades, del nucli i genera entrades en un fitxer de registre.

ausearch és una eina de línia d'ordres senzilla que s'utilitza per cercar els fitxers de registre del dimoni d'auditoria basant-se en esdeveniments i criteris de cerca diferents, com ara l'identificador d'esdeveniments, l'identificador de clau, l'arquitectura de la CPU, el nom de l'ordre, el nom d'amfitrió, el nom del grup o l'identificador de grup, el syscall, els missatges i més enllà. També accepta dades en brut de stdin.

De manera predeterminada, ausearch consulta el fitxer /var/log/audit/audit.log, que podeu veure com qualsevol altre fitxer de text.

# cat /var/log/audit/audit.log
OR
# cat /var/log/audit/audit.log | less

A la captura de pantalla anterior, podeu veure moltes dades del fitxer de registre que dificulta l'obtenció d'informació específica d'interès.

Per tant, necessiteu ausearch, que permet cercar informació d'una manera més potent i eficient mitjançant la sintaxi següent.

# ausearch [options]

El senyalador -p s'utilitza per passar un ID de procés.

# ausearch -p 2317

Aquí, heu d'utilitzar l'opció -m per identificar missatges específics i -sv per definir el valor d'èxit.

# ausearch -m USER_LOGIN -sv no 

El -ua s'utilitza per passar un nom d'usuari.

# ausearch -ua tecmint
OR
# ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Per consultar les accions realitzades per un determinat usuari durant un període de temps determinat, utilitzeu -ts per a la data/hora d'inici i -te per especificar la data/hora de finalització de la següent manera ( tingueu en compte que podeu utilitzar paraules com ara, recent, avui, ahir, aquesta setmana, fa una setmana, aquest mes, aquest any, així com punt de control en lloc dels formats d'hora real).

# ausearch -ua tecmint -ts yesterday -te now -i 

Més exemples de cerca d'accions per part d'un usuari determinat al sistema.

# ausearch -ua 1000 -ts this-week -i
# ausearch -ua tecmint -m USER_LOGIN -sv no -i

Si voleu revisar tots els canvis del sistema relacionats amb els comptes d'usuari, grups i rols; especifiqueu diversos tipus de missatges separats per comes com a l'ordre següent (cuideu-vos de la llista separada per comes, no deixeu espai entre una coma i l'element següent):

# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Tingueu en compte la regla d'auditoria a continuació, que registrarà qualsevol intent d'accedir o modificar la base de dades de comptes d'usuari /etc/passwd.

# auditctl -w /etc/passwd -p rwa -k passwd_changes

Ara, proveu d'obrir el fitxer anterior per editar-lo i tancar-lo, de la manera següent.

# vi /etc/passwd

Només perquè sabeu que s'ha registrat una entrada de registre sobre això, possiblement veureu les últimes parts del fitxer de registre amb l'ordre tail de la següent manera:

# tail /var/log/audit/audit.log

Què passa si s'han enregistrat recentment diversos esdeveniments, trobar la informació específica seria molt difícil, però amb ausearch, podeu passar la marca -k amb el valor clau que heu especificat a la regla d'auditoria per veure-ho tot? registre missatges sobre esdeveniments relacionats amb l'accés o la modificació del fitxer /etc/passwd.

Això també mostrarà els canvis de configuració fets per definir les regles d'auditoria.

# ausearch -k passwd_changes | less

Per obtenir més informació i opcions d'ús, llegiu la pàgina de manual d'ausearch:

# man ausearch

Per obtenir més informació sobre l'auditoria del sistema Linux i la gestió de registres, llegiu aquests articles relacionats següents.

  1. Petiti: una eina d'anàlisi de registres de codi obert per a administradors de sistemes Linux
  2. Supervisa els registres del servidor en temps real amb l'eina \Log.io a RHEL/CentOS 7/6
  3. Com configurar i gestionar la rotació del registre mitjançant Logrotate a Linux
  4. lnav: mira i analitza els registres d'Apache des d'un terminal Linux

En aquest tutorial, vam descriure com utilitzar ausearch per recuperar dades d'un fitxer de registre d'auditoria a RHEL i CentOS. Si teniu cap pregunta o pensament per compartir, utilitzeu la secció de comentaris per contactar amb nosaltres.

Al nostre proper article, explicarem com crear informes a partir de fitxers de registre d'auditoria mitjançant aureport a RHEL/CentOS/Fedora.