Hvordan lage aureport -revisjonsloggrapporter i Centos 7

Hvordan lage aureport -revisjonsloggrapporter i Centos 7 | Linux / Unix 2024
Hvordan lage aureport -revisjonsloggrapporter i Centos 7 | Linux / Unix 2024

Konstant overvåking av våre servere garanterer deres integritet og funksjonalitet til enhver tid, spesielt når det gjelder servere i produktive miljøer. Å utføre sikkerhetsrevisjoner med jevne mellomrom for systemet garanterer at vi er oppdaterte og et skritt foran i møte med mulige trusler og sårbarheter som systemet kan ha.

Revisjoner bør tas som en hyppig oppgave innen IT -området for å forhindre mye mer radikale handlinger i fremtiden som påvirker brukerroller, tjenester eller elementer.

Nå vil Solvetic indikere hvordan vi kan generere revisjonsrapporter som er avgjørende for ledermøter, støtter eller logger over hendelser som skjer på en server, i dette tilfellet snakker vi om CentOS 7.

Hva er aureportAureport -verktøyet er designet for å tillate oss å generere konkrete og vitale rapporter om hendelsene som er registrert i revisjonsloggfilene.

Som standard blir alle audit.log -filer som ligger i / var / log / audit / directory spurt for å opprette rapporten. I rapporten vil det være mulig å spesifisere en annen fil for å kjøre rapporten mot ved å bruke kommandoen aureport -if filnavn.

Aureport tilbyr oss forskjellige alternativer for bruk, og hver enkelt vil gi oss et annet resultat, disse alternativene er som følger.

1. Lag rapport om nøklene til revisjonsregel aureport


Hvis vi bruker parameteren -k, vil aureport lage en rapport om alle nøklene som er definert i revisjonsreglene.

Utførelsen er: 

 aureport -k
Resultatet er følgende:

Der kan vi se detaljert informasjon som angir dato, klokkeslett og hendelse som skjedde. Det er mulig å aktivere tolkning av numeriske enheter i tekst (for eksempel å konvertere UID til kontonavn) ved å bruke -i -alternativet: 

 aureport -k -i

2. Lag rapport om godkjenningsforsøk i aureport -systemet


Det er mulig at vi av sikkerhets- og kontrollgrunner trenger en rapport om alle hendelsene knyttet til autentiseringsforsøkene til alle brukerne i CentOS 7, for dette vil vi bruke parameteren -au. 
 aureport -au aureport -au -i
Resultatet blir følgende:

3. Generer rapporter knyttet til aureport -pålogginger


Takket være parameteren -l vil det være mulig å be aureport om å generere en rapport om alle pålogginger i CentOS 7.
Vi vil utføre følgende: 
 aureport -l
Resultatet som oppnås vil være følgende:

Vi kan se i detalj dato og klokkeslett for pålogginger.

4. Generer rapport om mislykkede hendelser i aureport -systemet


Hvis vi ønsker å få en rapport om hendelser med feil i CentOS 7, som er praktisk å vite i detalj hvilken hendelse og når den ble generert, kan vi utføre følgende: 
 aureport -mislyktes

Vi kan se kategoriene av hendelser med det respektive beløpet.

5. Generer en rapport for en angitt tidsperiode aureport


Med aureport er det mulig å generere rapporter for en bestemt tidsperiode; Parameteren -ts definerer startdato og klokkeslett, og -te -verdien angir sluttdato og klokkeslett.

I tillegg er det mulig å bruke ord som nå, nylig, i dag, i går, denne uken, denne uken, denne måneden, i år i stedet for sanntidsformatene.

Vi kan kjøre linjer som: 

 aureport -ts 20/09/2017 08:00:00 -te nå -sammendrag -i aureport -ts i dag -te nå --summary -i

6. Generer rapporter ved hjelp av en annen loggfil aureport


Det er mulig å opprette en rapport ved hjelp av en annen fil enn standardloggfilene i / var / log / audit -katalogen, for dette må vi bruke -if -flagget for å referere til filen: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
Andre nyttige parametere å bruke med aureport er:

Rapporter om godkjenningsforsøk 

 -au, --aut

Rapport om avc -meldinger 
 -a, --avc

Rapportkonfigurasjon endres 

 -c, --konfig

Rapport om krypto -hendelser 

 -cr, --crypto

Rapport om hendelser 

 -e, -hendelse

Rapport om filer 
 -f, --fil

Velg mislykkede hendelser som skal behandles i rapporter 
 -mislyktes

Rapporter om verter 

 -h, -vert

Skriver ut et sammendrag av kommandoen som skal utføres 

 --hjelp

Tolke numeriske enheter i tekstFor eksempel blir uid et kontonavn. Konverteringen utføres ved å bruke de nåværende ressursene på maskinen der søket kjøres 

 -i, -tolke
.

Gjør bruk av den angitte filenDette hjelper analyse når poster har blitt flyttet til en annen maskin eller bare en del av en post er lagret. 

 -if, --input -fil

Bruker plasseringen av auditd.conf -loggfilen som input for analyseDette er nødvendig hvis du bruker aureport fra en cron -jobb. 

 --input-logger

Rapporter om revisjonsregelnøkler 

 -k, --nøkkel

Rapporter om pålogginger 

 -l, --logging

Rapport om kontoendringer 

 -m, --mods

Rapporter om obligatorisk tilgangskontroll (MAC) -hendelser 

 -ma, --mak

Rapporter om anomali hendelserDisse hendelsene inkluderer NIC -er som går promiskuøse og segfaulting -programmer. 

 -n, --anomali

Lar deg velge hendelsene som kommer fra strengen med nodenavn som skal behandles i rapporterStandard er å inkludere alle noder. Flere noder er tillatt. 

 --nodenodenavn

Rapport om nåværende prosesser 

 -p, --pid

Rapporterer om svar på feilhendelser 

 -r, -svar

Rapport om syscalls 

 -s, --syscall

Velg bare vellykkede hendelser for behandling i rapporterStandarden er vellykket. 

 --suksess

Kjører en sammendragsrapport som inneholder totalt hovedrapportelementene 

 -oppsummerer

Dette alternativet viser en rapport om start- og sluttidene for hver post. 

 -t, --logg

Søker etter hendelser med tidsstempler som er lik eller eldre enn gitt sluttid.Sluttidsformatet avhenger av din lokalitet. Hvis datoen utelates, antas i dag. Hvis tiden utelates, antas det nå. Vi kan bruke 24 -timers klokken i stedet for AM eller PM for å spesifisere klokkeslettet. Husk at det er mulig å bruke ord som: nå, nylig, i dag, i går, denne uken, uken, denne måneden, i år. I dag betyr å begynne nå. Sist er for 10 minutter siden. I går er det 1 sekund etter midnatt dagen før. Denne uken betyr at du starter 1 sekund etter midnatt på den 0. dagen i uken som er bestemt av posisjonen din (se lokal tid). Denne måneden betyr 1 sekund etter midnatt 1. i måneden. I år betyr 1 sekund etter midnatt den første dagen i den første måneden. 

 -te, --end [sluttdato] [sluttid]

Informerer om terminaler 

 -tm, --terminal

Søker etter hendelser med tidsstempler som er lik eller senere enn den angitte sluttidenSluttidsformatet avhenger av din lokalitet. Hvis datoen utelates, antas i dag. Hvis tiden utelates, antas midnatt. Vi kan bruke 24 -timers klokken i stedet for AM eller PM for å spesifisere klokkeslettet. 
 -ts, --start [startdato] [start]

Informer om brukerne 

 -u, --bruker

Skriv ut versjonen og avslutt verktøyet 

 -v, -versjon

Rapport om kjørbare filer 

 -x, -eksekverbar

Til slutt, for å få generell hjelp fra verktøyet, kan vi kjøre man aureport. På denne måten kan vi se hvordan dette verktøyet lar oss generere detaljerte rapporter om alle revisjonsproblemer i Linux -miljøer, i dette tilfellet CentOS 7, og dermed utføre en mye mer komplett administrasjon av serverhendelser.

wave wave wave wave wave

Populære Innlegg

wave
1
post-title
▷ Lag DropBox Mac -snarvei ✔️
2
post-title
Hvordan komprimere og dekomprimere data i Python
3
post-title
▷ Installer Crossover på Chromebook
4
post-title
Lag frontend -utviklingsarkitektur med NPM, Grunt og Bower
5
post-title
▷ Slik kobler du til og synkroniserer Huawei Band 6 iPhone

Anbefalt

wave
- Sponsored Ad -

Redaksjonens

wave
- Sponsored Ad -