Kako stvoriti izvješća iz revizijskih zapisa koristeći 'aureport' na CentOS/RHEL

Ovaj članak je naša stalna serija o reviziji Linuxa, u naša posljednja dva članka objasnili smo kako instalirati i revidirati Linux sustave (CentOS i RHEL) i kako postavljati upite u zapisnike koristeći uslužni program ausearch.

U ovom trećem dijelu, objasnit ćemo kako generirati izvješća iz revizijskih log datoteka pomoću uslužnog programa aureport u distribucijama Linuxa koje se temelje na CentOS i RHEL.

Pročitajte također: Kako proizvesti i isporučiti izvješća o aktivnostima sustava pomoću Linux skupova alata

Što je aureport?

aureport je uslužni program naredbenog retka koji se koristi za stvaranje korisnih sažetih izvješća iz datoteka revizijskog dnevnika pohranjenih u /var/log/audit/. Poput ausearch, također prihvaća neobrađene podatke dnevnika iz stdin-a.

To je uslužni program jednostavan za korištenje; jednostavno proslijedite opciju za određenu vrstu izvješća koje trebate, kao što je prikazano u primjerima u nastavku.

Stvorite izvješće koje se odnosi na ključeve pravila revizije

Naredba aurepot proizvest će izvješće o svim ključevima koje ste naveli u pravilima revizije, koristeći oznaku -k.

aureport -k

Možete omogućiti tumačenje numeričkih entiteta u tekst (na primjer pretvoriti UID u naziv računa) pomoću opcije -i.

aureport -k -i

Stvorite izvješće o pokušajima provjere autentičnosti

Ako trebate izvješće o svim događajima koji se odnose na pokušaje autentifikacije za sve korisnike, koristite opciju -au.

aureport -au 
OR
aureport -au -i

Napravite izvješće o prijavama

Opcija -l govori aureportu da generira izvješće o svim prijavama kako slijedi.

Prijavite neuspjele događaje na sustavu

Sljedeća naredba pokazuje kako prijaviti sve neuspjele događaje.

aureport --failed

Generirajte sažeto izvješće za određeno vremensko razdoblje

Također je moguće generirati izvješća za određeno vremensko razdoblje; -ts definira početni datum/vrijeme, a -te postavlja završni datum/vrijeme. Također možete koristiti riječi kao što su sada, nedavno, danas, jučer, ovaj tjedan, prije tjedan dana, ovaj mjesec, ove godine umjesto stvarnih formata vremena.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i

Izradite izvješće iz različite datoteke dnevnika revizije

Ako želite izraditi izvješće iz druge datoteke koja nije zadana datoteka dnevnika u direktoriju /var/log/audit, upotrijebite oznaku -if za navođenje datoteke.

Ova naredba izvještava o svim prijavama zabilježenim u /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log

Sve opcije i više informacija možete pronaći na aureport man stranici.

man aureport

Dolje je popis članaka koji se tiču upravljanja zapisima i alata za generiranje izvješća u Linuxu:

  1. 4 dobra alata za nadzor i upravljanje zapisima otvorenog koda za Linux
  2. SARG – Squid Analysis Report Generator i Alat za praćenje internetske propusnosti
  3. Smem – izvješćuje o potrošnji memorije po procesu i po korisniku u Linuxu
  4. Kako upravljati zapisnicima sustava (konfigurirati, rotirati i uvesti u bazu podataka)

U ovom smo vodiču pokazali kako generirati sažeta izvješća iz revizijskih log datoteka u RHEL/CentOS/Fedora. Upotrijebite odjeljak za komentare ispod kako biste postavili bilo kakva pitanja ili podijelili svoja razmišljanja o ovom vodiču.

Zatim ćemo pokazati kako izvršiti reviziju određenog procesa pomoću uslužnog programa ‘autrace’, a do tada ostanite zaključani za Tecmint.