Kako upisati zapisnike revizije pomoću alata pretraživanja na CentOS/RHEL
U našem posljednjem članku objasnili smo kako revidirati RHEL ili CentOS sustav pomoću uslužnog programa auditd. Sustav revizije (auditd) sveobuhvatan je sustav evidentiranja i po tom pitanju ne koristi syslog. Također se isporučuje sa setom alata za upravljanje sustavom revizije jezgre, kao i pretraživanjem i izradom izvješća iz podataka u datotekama dnevnika.
U ovom uputstvu objasnit ćemo kako se pomoću alata pretraživanja dohvaćaju podaci iz datoteka dnevnika audita na Linux distribucijama temeljenim na RHEL i CentOS.
Kao što smo ranije spomenuli, sustav revizije ima demon provjere korisničkog prostora (auditd) koji od jezgre prikuplja sigurnosne informacije temeljene na unaprijed konfiguriranim pravilima i generira unose u datoteci dnevnika.
ausearch je jednostavan alat naredbenog retka koji se koristi za pretraživanje datoteka evidencije demona revizije na temelju događaja i različitih kriterija pretraživanja kao što su identifikator događaja, identifikator ključa, arhitektura CPU-a, naziv naredbe, naziv hosta, naziv grupe ili ID grupe, syscall, poruke i šire. Također prihvaća sirove podatke iz stdina.
Prema zadanim postavkama, pretraživač pretražuje datoteku /var/log/audit/audit.log, koju možete pregledati kao i bilo koju drugu tekstualnu datoteku.
# cat /var/log/audit/audit.log OR # cat /var/log/audit/audit.log | less
Na gornjoj snimci zaslona možete vidjeti puno podataka iz datoteke dnevnika što otežava dobivanje određenih informacija od interesa.
Stoga vam je potrebno istraživanje, koje omogućuje snažnije i učinkovitije pretraživanje podataka pomoću sljedeće sintakse.
# ausearch [options]
Oznaka -p
koristi se za prosljeđivanje ID-a procesa.
# ausearch -p 2317
Ovdje trebate koristiti opciju -m
da biste identificirali određene poruke i -sv
da biste definirali vrijednost uspjeha.
# ausearch -m USER_LOGIN -sv no
-Ua se koristi za prosljeđivanje korisničkog imena.
# ausearch -ua tecmint OR # ausearch -ua tecmint -i # enable interpreting of numeric entities into text.
Da biste zatražili radnje koje je izvršio određeni korisnik iz određenog vremenskog razdoblja, koristite -ts
za datum/vrijeme početka i -te
za specificiranje datuma/vremena završetka kako slijedi ( imajte na umu da umjesto stvarnih formata vremena možete koristiti riječi kao što su sada, nedavno, danas, jučer, ovaj tjedan, tjedan-tjedan, ovaj mjesec, ove godine, kao i kontrolna točka).
# ausearch -ua tecmint -ts yesterday -te now -i
Više primjera za traženje radnji određenog korisnika u sustavu.
# ausearch -ua 1000 -ts this-week -i # ausearch -ua tecmint -m USER_LOGIN -sv no -i
Ako želite pregledati sve promjene sustava koje se odnose na korisničke račune, grupe i uloge; navedite razne vrste poruka odvojenih zarezom kao u naredbi ispod (vodite računa o popisu odvojenom zarezima, ne ostavljajte razmak između zareza i sljedeće stavke):
# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE -i
Razmotrite pravilo revizije u nastavku koje će evidentirati sve pokušaje pristupa ili izmjene baze podataka korisničkih računa/etc/passwd.
# auditctl -w /etc/passwd -p rwa -k passwd_changes
Pokušajte otvoriti gornju datoteku za uređivanje i zatvoriti je, kako slijedi.
# vi /etc/passwd
Samo zato što znate da je o tome zabilježen zapis dnevnika, možda biste posljednje dijelove datoteke dnevnika pregledali naredbom tail na sljedeći način:
# tail /var/log/audit/audit.log
Što ako je nedavno zabilježeno nekoliko drugih događaja, pronalaženje određenih informacija bilo bi tako teško, ali pomoću pretraživanja možete proslijediti zastavicu -k
s vrijednošću ključa koju ste naveli u pravilu revizije da biste pregledali sve zapisuje poruke koje se tiču događaja vezanih uz pristup ili izmjenu datoteke/etc/passwd.
Ovo će također prikazati izvršene promjene konfiguracije - definiranje pravila revizije.
# ausearch -k passwd_changes | less
Za više informacija i mogućnosti korištenja pročitajte stranicu korisničkog pretraživača:
# man ausearch
Da biste saznali više o reviziji Linux sustava i upravljanju dnevnicima, pročitajte sljedeće srodne članke.
- Petiti - Alat za analizu dnevnika otvorenog koda za Linux SysAdmins
- Praćenje dnevnika poslužitelja u stvarnom vremenu pomoću alata "Log.io" na RHEL/CentOS 7/6
- Kako postaviti i upravljati rotacijom dnevnika pomoću Logrotatea u Linuxu
- lnav - Pogledajte i analizirajte zapise Apachea s Linux terminala
U ovom smo uputstvu opisali kako pomoću pretraživanja dohvatiti podatke iz datoteke dnevnika auditd na RHEL i CentOS. Ako imate bilo kakvih pitanja ili razmišljanja za razmjenu, koristite odjeljak za komentare da biste nas kontaktirali.
U sljedećem ćemo članku objasniti kako stvoriti izvješća iz datoteka dnevnika revizije pomoću aureporta u RHEL/CentOS/Fedora.