Com crear informes a partir de registres d'auditoria mitjançant aureport a CentOS/RHEL


Aquest article és la nostra sèrie en curs sobre registres de consultes mitjançant la utilitat ausearch.

En aquesta tercera part, explicarem com generar informes a partir dels fitxers de registre d'auditoria mitjançant la utilitat aureport a les distribucions Linux basades en CentOS i RHEL.

aureport és una utilitat de línia d'ordres que s'utilitza per crear informes de resum útils a partir dels fitxers de registre d'auditoria emmagatzemats a /var/log/audit/. Igual que ausearch, també accepta dades de registre en brut de stdin.

És una utilitat fàcil d'utilitzar; simplement passeu una opció per a un tipus d'informe específic que necessiteu, tal com es mostra als exemples següents.

L'ordre aurepot produirà un informe sobre totes les claus que heu especificat a les regles d'auditoria, utilitzant el senyalador -k.

# aureport -k 

Podeu habilitar la interpretació d'entitats numèriques en text (per exemple, convertir UID en nom de compte) mitjançant l'opció -i.

# aureport -k -i

Si necessiteu un informe sobre tots els esdeveniments relacionats amb els intents d'autenticació per a tots els usuaris, feu servir l'opció -au.

# aureport -au 
OR
# aureport -au -i

L'opció -l indica a aureport que generi un informe de tots els inicis de sessió de la següent manera.

L'ordre següent mostra com informar de tots els esdeveniments fallits.

# aureport --failed

També és possible generar informes per a un període de temps determinat; el -ts defineix la data/hora d'inici i el -te estableix una data/hora de finalització. També podeu utilitzar paraules com ara, recent, avui, ahir, aquesta setmana, fa una setmana, aquest mes, aquest any en lloc de formats d'hora real.

# aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
# aureport -ts yesterday -te now --summary -i 

Si voleu crear un informe a partir d'un fitxer diferent dels fitxers de registre predeterminats del directori /var/log/audit, utilitzeu el senyalador -if per especificar el fitxer.

Aquesta ordre informa de tots els inicis de sessió registrats a /var/log/tecmint/hosts/node1.log.

# aureport -l -if /var/log/tecmint/hosts/node1.log 

Podeu trobar totes les opcions i més informació a la pàgina de manual d'aureport.

# man aureport

A continuació es mostra una llista d'articles sobre la gestió de registres i les eines de generació d'informes a Linux:

  1. 4 bones eines de control i gestió de registres de codi obert per a Linux
  2. SARG: generador d'informes d'anàlisi de calamars i eina de control de l'ample de banda d'Internet
  3. Smem: informa del consum de memòria per procés i per usuari a Linux
  4. Com gestionar els registres del sistema (configurar, girar i importar a la base de dades)

En aquest tutorial, vam mostrar com generar informes de resum dels fitxers de registre d'auditoria a RHEL/CentOS/Fedora. Utilitzeu la secció de comentaris a continuació per fer qualsevol pregunta o compartir qualsevol reflexió sobre aquesta guia.

A continuació, mostrarem com auditar un procés específic mitjançant la utilitat autrace, fins aleshores, manteniu-lo bloquejat a Tecmint.