Kako stvoriti izvješća iz revizijskih zapisa koristeći 'aureport' na CentOS/RHEL
Ovaj članak je naša stalna serija o reviziji Linuxa, u naša posljednja dva članka objasnili smo kako instalirati i revidirati Linux sustave (CentOS i RHEL) i kako postavljati upite u zapisnike koristeći uslužni program ausearch.
U ovom trećem dijelu, objasnit ćemo kako generirati izvješća iz revizijskih log datoteka pomoću uslužnog programa aureport u distribucijama Linuxa koje se temelje na CentOS i RHEL.
Pročitajte također: Kako proizvesti i isporučiti izvješća o aktivnostima sustava pomoću Linux skupova alata
Što je aureport?
aureport je uslužni program naredbenog retka koji se koristi za stvaranje korisnih sažetih izvješća iz datoteka revizijskog dnevnika pohranjenih u /var/log/audit/. Poput ausearch, također prihvaća neobrađene podatke dnevnika iz stdin-a.
To je uslužni program jednostavan za korištenje; jednostavno proslijedite opciju za određenu vrstu izvješća koje trebate, kao što je prikazano u primjerima u nastavku.
Stvorite izvješće koje se odnosi na ključeve pravila revizije
Naredba aurepot proizvest će izvješće o svim ključevima koje ste naveli u pravilima revizije, koristeći oznaku -k
.
aureport -k
Možete omogućiti tumačenje numeričkih entiteta u tekst (na primjer pretvoriti UID u naziv računa) pomoću opcije -i
.
aureport -k -i
Stvorite izvješće o pokušajima provjere autentičnosti
Ako trebate izvješće o svim događajima koji se odnose na pokušaje autentifikacije za sve korisnike, koristite opciju -au
.
aureport -au
OR
aureport -au -i
Napravite izvješće o prijavama
Opcija -l
govori aureportu da generira izvješće o svim prijavama kako slijedi.
Prijavite neuspjele događaje na sustavu
Sljedeća naredba pokazuje kako prijaviti sve neuspjele događaje.
aureport --failed
Generirajte sažeto izvješće za određeno vremensko razdoblje
Također je moguće generirati izvješća za određeno vremensko razdoblje; -ts
definira početni datum/vrijeme, a -te
postavlja završni datum/vrijeme. Također možete koristiti riječi kao što su sada, nedavno, danas, jučer, ovaj tjedan, prije tjedan dana, ovaj mjesec, ove godine umjesto stvarnih formata vremena.
aureport -ts 09/19/2017 15:20:00 -te now --summary -i
OR
aureport -ts yesterday -te now --summary -i
Izradite izvješće iz različite datoteke dnevnika revizije
Ako želite izraditi izvješće iz druge datoteke koja nije zadana datoteka dnevnika u direktoriju /var/log/audit, upotrijebite oznaku -if
za navođenje datoteke.
Ova naredba izvještava o svim prijavama zabilježenim u /var/log/tecmint/hosts/node1.log.
aureport -l -if /var/log/tecmint/hosts/node1.log
Sve opcije i više informacija možete pronaći na aureport man stranici.
man aureport
Dolje je popis članaka koji se tiču upravljanja zapisima i alata za generiranje izvješća u Linuxu:
- 4 dobra alata za nadzor i upravljanje zapisima otvorenog koda za Linux
- SARG – Squid Analysis Report Generator i Alat za praćenje internetske propusnosti
- Smem – izvješćuje o potrošnji memorije po procesu i po korisniku u Linuxu
- Kako upravljati zapisnicima sustava (konfigurirati, rotirati i uvesti u bazu podataka)
U ovom smo vodiču pokazali kako generirati sažeta izvješća iz revizijskih log datoteka u RHEL/CentOS/Fedora. Upotrijebite odjeljak za komentare ispod kako biste postavili bilo kakva pitanja ili podijelili svoja razmišljanja o ovom vodiču.
Zatim ćemo pokazati kako izvršiti reviziju određenog procesa pomoću uslužnog programa ‘autrace’, a do tada ostanite zaključani za Tecmint.