Jak tworzyć raporty dziennika audytu aureport w Centos 7?

Jak tworzyć raporty dziennika audytu aureport w Centos 7? | Linux / Unix 2024
Jak tworzyć raporty dziennika audytu aureport w Centos 7? | Linux / Unix 2024

Stały monitoring naszych serwerów gwarantuje ich integralność i funkcjonalność przez cały czas, zwłaszcza jeśli chodzi o serwery w środowiskach produkcyjnych. Przeprowadzanie okresowych audytów bezpieczeństwa systemu gwarantuje nam bycie na bieżąco i o krok do przodu w obliczu możliwych zagrożeń i podatności systemu.

Audyty należy traktować jako częste zadanie w obszarze IT, aby zapobiec w przyszłości znacznie bardziej radykalnym działaniom, które wpływają na role, usługi lub elementy użytkowników.

Teraz Solvetic wskaże, w jaki sposób możemy generować raporty z audytów, które są istotne dla spotkań kierowniczych, wsparcia czy dzienników zdarzeń występujących na serwerze, w tym przypadku mówimy o CentOS 7.

Co to jest aureportNarzędzie aureport zostało zaprojektowane, aby umożliwić nam generowanie konkretnych i istotnych raportów dotyczących zdarzeń zarejestrowanych w plikach dziennika audytu.

Domyślnie wszystkie pliki audit.log znajdujące się w katalogu / var / log / audit / są odpytywane w celu utworzenia raportu. W raporcie będzie można określić inny plik, dla którego ma zostać uruchomiony raport za pomocą polecenia aureport -if nazwa_pliku.

Aureport oferuje nam różne alternatywy dla jego wykorzystania i każda z nich da nam inny wynik, te opcje są następujące.

1. Utwórz raport o kluczach reguły audytu aureport


Jeśli użyjemy parametru -k, aureport wygeneruje raport o wszystkich kluczach zdefiniowanych w regułach audytu.

Jego wykonanie to: 

 aureport -k
Jego wynik jest następujący:

Możemy tam zobaczyć szczegółowe informacje wskazujące datę, godzinę i zdarzenie, które miało miejsce. Możliwe jest włączenie interpretacji jednostek numerycznych w tekście (np. zamiana UID na nazwę rachunku) za pomocą opcji -i: 

 aureport -k -i

2. Utwórz raport o próbach uwierzytelnienia w systemie aureport


Możliwe, że ze względów bezpieczeństwa i kontroli potrzebujemy raportu o wszystkich zdarzeniach związanych z próbami uwierzytelnienia wszystkich użytkowników w CentOS 7, do tego użyjemy parametru -au. 
 aureport -au aureport -au -i
Wynik będzie następujący:

3. Generuj raporty związane z loginami aureport


Dzięki parametrowi -l będzie można nakazać aureportowi wygenerowanie raportu wszystkich logowań w CentOS 7.
Wykonamy następujące czynności: 
 aureport -l
Otrzymany wynik będzie następujący:

Możemy zobaczyć szczegółowo datę i godzinę logowań.

4. Generuj raport o nieudanych zdarzeniach w systemie aureport


Jeśli chcemy uzyskać raport o zdarzeniach z błędem w CentOS 7, co jest praktyczne, aby dokładnie wiedzieć, jakie zdarzenie i kiedy zostało wygenerowane, możemy wykonać następujące czynności: 
 aureport - nie powiodło się

Widzimy kategorie wydarzeń z odpowiednią kwotą.

5. Wygeneruj raport za określony czas aureport


Dzięki aureport możliwe jest generowanie raportów za określony czas; Parametr -ts definiuje datę i godzinę rozpoczęcia, a wartość -te określa datę i godzinę zakończenia.

Dodatkowo można używać słów takich jak teraz, ostatnio, dzisiaj, wczoraj, w tym tygodniu, w tym tygodniu, w tym miesiącu, w tym roku zamiast formatów czasu rzeczywistego.

Możemy uruchomić linie takie jak: 

 aureport -ts 20.09.2017 08:00:00 -te teraz --summary -i aureport -ts dzisiaj -te teraz --summary -i

6. Generuj raporty przy użyciu innego pliku dziennika aureport


Możliwe jest utworzenie raportu przy użyciu pliku innego niż domyślne pliki logów w katalogu / var / log / audit, w tym celu musimy użyć flagi -if, aby odnieść się do pliku: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
Inne przydatne parametry do wykorzystania z aureportem to:

Raporty o próbach uwierzytelnienia 

 -au, --auth

Raportuj o wiadomościach avc 
 -a, --avc

Raportuj zmiany konfiguracji 

 -c, --config

Raport o wydarzeniach kryptograficznych 

 -cr, --krypto

Raport o wydarzeniach 

 -e, --zdarzenie

Raport o plikach 
 -f, --plik

Wybierz nieudane zdarzenia do przetworzenia w raportach 
 --przegrany

Raporty o gospodarzach 

 -h, --host

Wyświetla podsumowanie polecenia do wykonania 

 --Wsparcie

Interpretuj jednostki liczbowe w tekścieNa przykład uid staje się nazwą konta. Konwersja odbywa się przy użyciu bieżących zasobów maszyny, na której trwa wyszukiwanie 

 -i, --interpretuj
.

Wykorzystuje wskazany plikPomaga to w analizie, gdy rekordy zostały przeniesione na inny komputer lub tylko część rekordu została zapisana. 

 -if, --plik wejściowy

Wykorzystuje lokalizację pliku dziennika auditd.conf jako dane wejściowe do analizyJest to konieczne, jeśli używasz aureport z zadania crona. 

 --input-logs

Raporty dotyczące kluczy reguł audytu 

 -k, --klawisz

Raporty o logowaniu 

 -l, --login

Raport o zmianach na koncie 

 -m, --mody

Raporty o zdarzeniach obowiązkowej kontroli dostępu (MAC) 

 -ma, --mac

Raporty o zdarzeniach anomaliiZdarzenia te obejmują NIC przechodzące w rozwiązłe programy i segfaulting. 

 -n, --anomalia

Pozwala wybrać zdarzenia pochodzące z ciągu nazw węzłów do przetwarzania w raportachDomyślnie uwzględniane są wszystkie węzły. Dozwolonych jest wiele węzłów. 

 --node nazwa-węzła

Raport o bieżących procesach 

 -p, --pid

Raporty o reakcjach na zdarzenia awaryjne 

 -r, --odpowiedź

Raport o wywołaniach systemowych 

 -s, --syscall

Wybieraj tylko udane zdarzenia do przetworzenia w raportachWartość domyślna to pomyślne. 

 --sukces

Uruchamia raport podsumowujący, który zawiera sumę głównych elementów raportu 

 --podsumowuje

Ta opcja wyświetla raport z godzinami rozpoczęcia i zakończenia każdego rekordu. 

 -t, --log

Wyszukuje wydarzenia, których sygnatury czasowe są równe lub starsze niż podany czas zakończenia.Format czasu zakończenia zależy od Twojego regionu. Jeśli data zostanie pominięta, zakłada się dzień dzisiejszy. Jeśli czas jest pominięty, to jest teraz zakładany. Do określenia czasu możemy użyć zegara 24-godzinnego zamiast AM lub PM. Pamiętaj, że możesz używać słów takich jak: teraz, ostatnie, dzisiaj, wczoraj, w tym tygodniu, w tym miesiącu, w tym roku. Dzisiaj oznacza rozpoczęcie teraz. Ostatnie jest 10 minut temu. Wczoraj jest 1 sekundę po północy poprzedniego dnia. Ten tydzień oznacza rozpoczęcie 1 sekundę po północy 0 dnia tygodnia określonego przez Twoją lokalizację (patrz czas lokalny). Ten miesiąc oznacza 1 sekundę po północy pierwszego dnia miesiąca. W tym roku oznacza 1 sekundę po północy pierwszego dnia pierwszego miesiąca. 

 -te, --end [data-końcowa] [godzina-końcowa]

Informuje o terminalach 

 -tm, --terminal

Wyszukuje wydarzenia, których sygnatury czasowe są równe lub późniejsze niż podany czas zakończeniaFormat czasu zakończenia zależy od Twojego regionu. Jeśli data zostanie pominięta, zakłada się dzień dzisiejszy. Jeśli pominięto czas, zakładana jest północ. Do określenia czasu możemy użyć zegara 24-godzinnego zamiast AM lub PM. 
 -ts, --start [data rozpoczęcia] [start]

Poinformuj o użytkownikach 

 -u, --użytkownik

Wydrukuj wersję i wyjdź z narzędzia 

 -v, --wersja

Raport o plikach wykonywalnych 

 -x, --wykonywalny

Na koniec, aby uzyskać ogólną pomoc od narzędzia, możemy uruchomić man aureport. W ten sposób możemy zobaczyć, jak to narzędzie pozwala nam generować szczegółowe raporty dotyczące wszystkich problemów audytowych w środowiskach Linux, w tym przypadku CentOS 7, a tym samym prowadzić o wiele pełniejszą administrację zdarzeniami serwera.

wave wave wave wave wave

Popularne Wiadomości

wave
1
post-title
Testowanie JavaScript z Jasmine
2
post-title
Usuń tło lub ramki w ikonach aplikacji Samsung Galaxy M10
3
post-title
Specyficzne SEO dla obrazów w sieci
4
post-title
▷ Polecenie włącza lub wyłącza WiFi Windows 10 CMD
5
post-title
Jak poprawić wydajność programu Outlook i zwolnić zużycie pamięci?

Zalecane

wave
- Sponsored Ad -

Wybór Redakcji

wave
- Sponsored Ad -