Kako upisati zapisnike revizije pomoću alata pretraživanja na CentOS/RHEL

U našem posljednjem članku objasnili smo kako revidirati RHEL ili CentOS sustav pomoću uslužnog programa auditd. Sustav revizije (auditd) sveobuhvatan je sustav evidentiranja i po tom pitanju ne koristi syslog. Također se isporučuje sa setom alata za upravljanje sustavom revizije jezgre, kao i pretraživanjem i izradom izvješća iz podataka u datotekama dnevnika.

U ovom uputstvu objasnit ćemo kako se pomoću alata pretraživanja dohvaćaju podaci iz datoteka dnevnika audita na Linux distribucijama temeljenim na RHEL i CentOS.

Kao što smo ranije spomenuli, sustav revizije ima demon provjere korisničkog prostora (auditd) koji od jezgre prikuplja sigurnosne informacije temeljene na unaprijed konfiguriranim pravilima i generira unose u datoteci dnevnika.

ausearch je jednostavan alat naredbenog retka koji se koristi za pretraživanje datoteka evidencije demona revizije na temelju događaja i različitih kriterija pretraživanja kao što su identifikator događaja, identifikator ključa, arhitektura CPU-a, naziv naredbe, naziv hosta, naziv grupe ili ID grupe, syscall, poruke i šire. Također prihvaća sirove podatke iz stdina.

Prema zadanim postavkama, pretraživač pretražuje datoteku /var/log/audit/audit.log, koju možete pregledati kao i bilo koju drugu tekstualnu datoteku.

# cat /var/log/audit/audit.log
OR
# cat /var/log/audit/audit.log | less

Na gornjoj snimci zaslona možete vidjeti puno podataka iz datoteke dnevnika što otežava dobivanje određenih informacija od interesa.

Stoga vam je potrebno istraživanje, koje omogućuje snažnije i učinkovitije pretraživanje podataka pomoću sljedeće sintakse.

# ausearch [options]

Oznaka -p koristi se za prosljeđivanje ID-a procesa.

# ausearch -p 2317

Ovdje trebate koristiti opciju -m da biste identificirali određene poruke i -sv da biste definirali vrijednost uspjeha.

# ausearch -m USER_LOGIN -sv no

-Ua se koristi za prosljeđivanje korisničkog imena.

# ausearch -ua tecmint
OR
# ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Da biste zatražili radnje koje je izvršio određeni korisnik iz određenog vremenskog razdoblja, koristite -ts za datum/vrijeme početka i -te za specificiranje datuma/vremena završetka kako slijedi ( imajte na umu da umjesto stvarnih formata vremena možete koristiti riječi kao što su sada, nedavno, danas, jučer, ovaj tjedan, tjedan-tjedan, ovaj mjesec, ove godine, kao i kontrolna točka).

# ausearch -ua tecmint -ts yesterday -te now -i

Više primjera za traženje radnji određenog korisnika u sustavu.

# ausearch -ua 1000 -ts this-week -i
# ausearch -ua tecmint -m USER_LOGIN -sv no -i

Ako želite pregledati sve promjene sustava koje se odnose na korisničke račune, grupe i uloge; navedite razne vrste poruka odvojenih zarezom kao u naredbi ispod (vodite računa o popisu odvojenom zarezima, ne ostavljajte razmak između zareza i sljedeće stavke):

# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Razmotrite pravilo revizije u nastavku koje će evidentirati sve pokušaje pristupa ili izmjene baze podataka korisničkih računa/etc/passwd.

# auditctl -w /etc/passwd -p rwa -k passwd_changes

Pokušajte otvoriti gornju datoteku za uređivanje i zatvoriti je, kako slijedi.

# vi /etc/passwd

Samo zato što znate da je o tome zabilježen zapis dnevnika, možda biste posljednje dijelove datoteke dnevnika pregledali naredbom tail na sljedeći način:

# tail /var/log/audit/audit.log

Što ako je nedavno zabilježeno nekoliko drugih događaja, pronalaženje određenih informacija bilo bi tako teško, ali pomoću pretraživanja možete proslijediti zastavicu -k s vrijednošću ključa koju ste naveli u pravilu revizije da biste pregledali sve zapisuje poruke koje se tiču događaja vezanih uz pristup ili izmjenu datoteke/etc/passwd.

Ovo će također prikazati izvršene promjene konfiguracije - definiranje pravila revizije.

# ausearch -k passwd_changes | less

Za više informacija i mogućnosti korištenja pročitajte stranicu korisničkog pretraživača:

# man ausearch

Da biste saznali više o reviziji Linux sustava i upravljanju dnevnicima, pročitajte sljedeće srodne članke.

  1. Petiti - Alat za analizu dnevnika otvorenog koda za Linux SysAdmins
  2. Praćenje dnevnika poslužitelja u stvarnom vremenu pomoću alata "Log.io" na RHEL/CentOS 7/6
  3. Kako postaviti i upravljati rotacijom dnevnika pomoću Logrotatea u Linuxu
  4. lnav - Pogledajte i analizirajte zapise Apachea s Linux terminala

U ovom smo uputstvu opisali kako pomoću pretraživanja dohvatiti podatke iz datoteke dnevnika auditd na RHEL i CentOS. Ako imate bilo kakvih pitanja ili razmišljanja za razmjenu, koristite odjeljak za komentare da biste nas kontaktirali.

U sljedećem ćemo članku objasniti kako stvoriti izvješća iz datoteka dnevnika revizije pomoću aureporta u RHEL/CentOS/Fedora.