Hur man skapar aureport -revisionsloggrapporter i Centos 7

Hur man skapar aureport -revisionsloggrapporter i Centos 7 | Linux / Unix 2024
Hur man skapar aureport -revisionsloggrapporter i Centos 7 | Linux / Unix 2024

Konstant övervakning av våra servrar garanterar deras integritet och funktionalitet hela tiden, särskilt när det gäller servrar i produktiva miljöer. Genom att regelbundet utföra säkerhetsrevisioner av systemet garanterar vi att vi är uppdaterade och ett steg före inför eventuella hot och sårbarheter som systemet kan ha.

Revisioner bör tas som en vanlig uppgif.webpt inom IT -området för att förhindra mycket mer radikala åtgärder i framtiden som påverkar användarroller, tjänster eller element.

Nu kommer Solvetic att indikera hur vi kan generera revisionsrapporter som är avgörande för ledningsmöten, support eller loggar över händelser som inträffar på en server, i det här fallet talar vi om CentOS 7.

Vad är aureportAureport -verktyget har utformats så att vi kan generera konkreta och viktiga rapporter om händelserna som registrerats i granskningsloggfilerna.

Som standard frågas alla audit.log -filer som finns i / var / log / audit / katalogen för att skapa rapporten. I rapporten blir det möjligt att ange en annan fil för att köra rapporten mot kommandot aureport -if filnamn.

Aureport erbjuder oss olika alternativ för dess användning och var och en kommer att ge oss ett annat resultat, dessa alternativ är följande.

1. Skapa rapport om nycklarna till revisionsregeln aureport


Om vi ​​använder parametern -k kommer aureport att ta fram en rapport om alla nycklar som definieras i granskningsreglerna.

Dess utförande är: 

 aureport -k
Resultatet är följande:

Där kan vi se detaljerad information som anger datum, tid och händelse som inträffade. Det är möjligt att möjliggöra tolkning av numeriska enheter i text (t.ex. konvertering av UID till kontonamn) med alternativet -i: 

 aureport -k -i

2. Skapa rapport om autentiseringsförsök i aureportsystemet


Det är möjligt att vi av säkerhets- och kontrollskäl behöver en rapport om alla händelser relaterade till autentiseringsförsök för alla användare i CentOS 7, för detta använder vi parametern -au. 
 aureport -au aureport -au -i
Resultatet blir följande:

3. Generera rapporter som är associerade med aureport -inloggningar


Tack vare parametern -l blir det möjligt att berätta för aureport att generera en rapport om alla inloggningar i CentOS 7.
Vi kommer att utföra följande: 
 aureport -l
Resultatet blir följande:

Vi kan se detaljerat datum och tid för inloggningar.

4. Generera rapport om misslyckade händelser i aureportsystemet


Om vi ​​vill få en rapport om händelser med fel i CentOS 7, vilket är praktiskt att i detalj veta vilken händelse och när den genererades, kan vi utföra följande: 
 aureport -failed

Vi kan se kategorier av evenemang med respektive belopp.

5. Generera en rapport för en angiven tidsperiod aureport


Med aureport är det möjligt att generera rapporter för en viss tidsperiod; Parametern -ts definierar startdatum och -tid, och -te -värdet anger ett slutdatum och en tid.

Dessutom är det möjligt att använda ord som nu, senaste, idag, igår, denna vecka, denna vecka, denna månad, i år istället för realtidsformat.

Vi kan köra linjer som: 

 aureport -ts 20/09/2017 08:00:00 -te nu -sammanfattning -i aureport -ts idag -te nu -sammanfattning -i

6. Generera rapporter med en annan loggfil aureport


Det är möjligt att skapa en rapport med en annan fil än standardloggfilerna i katalogen / var / log / revision, för detta måste vi använda -if -flaggan för att hänvisa till filen: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
Andra användbara parametrar att använda med aureport är:

Rapporter om autentiseringsförsök 

 -au, --aut

Rapportera om avc -meddelanden 
 -a, --avc

Rapportkonfigurationsändringar 

 -c, --konfig

Rapport om kryptohändelser 

 -cr, --crypto

Rapport om händelser 

 -e, --händelse

Rapport om filer 
 -f, --fil

Välj misslyckade händelser att bearbeta i rapporter 
 -misslyckades

Rapporter om värdar 

 -h, -värd

Skriver ut en sammanfattning av kommandot som ska utföras 

 --hjälp

Tolka numeriska enheter i textTill exempel blir uid ett kontonamn. Konverteringen görs med hjälp av de aktuella resurserna på maskinen där sökningen körs 

 -i, -tolka
.

Använder den angivna filenDetta hjälper till att analysera när poster har flyttats till en annan maskin eller bara en del av en post har sparats. 

 -if, --inmatningsfil

Använder platsen för auditd.conf -loggfilen som ingång för analysDetta är nödvändigt om du använder aureport från ett cron -jobb. 

 --inmatningsloggar

Rapporter om nycklar för granskningsregler 

 -k, --nyckel

Rapporter om inloggningar 

 -l, --inloggning

Rapport om kontoändringar 

 -m, --mods

Rapporter om obligatoriska åtkomstkontroll (MAC) -händelser 

 -ma, --mac

Rapporter om avvikelserDessa händelser inkluderar NIC som går promiskuösa och segfaulting -program. 

 -n, --anomali

Låter dig välja de händelser som härrör från strängen av nodnamn som ska bearbetas i rapporterStandard är att inkludera alla noder. Flera noder är tillåtna. 

 --nodenodnamn

Rapport om aktuella processer 

 -p, --pid

Rapporterar om svar på misslyckade händelser 

 -r, -svar

Rapport om syscalls 

 -s, --syscall

Välj endast lyckade händelser för bearbetning i rapporterStandard är lyckad. 

 --Framgång

Kör en sammanfattande rapport som innehåller totalt de viktigaste rapportobjekten 

 -sammanfattar

Detta alternativ visar en rapport om start- och sluttider för varje post. 

 -t, --logg

Söker efter händelser med tidsstämplar som är lika med eller äldre än den angivna sluttiden.Sluttidens format beror på din ort. Om datumet utelämnas antas idag. Om tiden utelämnas antas det nu. Vi kan använda 24 -timmars klockan istället för AM eller PM för att ange tiden. Kom ihåg att det är möjligt att använda ord som: nu, nyligen, idag, igår, denna vecka, vecka, denna månad, i år. Idag betyder att börja nu. Senaste är för 10 minuter sedan. Igår är det 1 sekund efter midnatt dagen innan. Den här veckan innebär att du börjar 1 sekund efter midnatt den 0: e veckodagen som bestäms av din plats (se lokal tid). Denna månad betyder 1 sekund efter midnatt den 1: a i månaden. Detta år betyder 1 sekund efter midnatt den första dagen i den första månaden. 

 -te, --end [slutdatum] [sluttid]

Informerar om terminaler 

 -tm, --terminal

Söker efter händelser med tidsstämplar som är lika med eller senare än den angivna sluttidenSluttidens format beror på din ort. Om datumet utelämnas antas idag. Om tiden utelämnas antas midnatt. Vi kan använda 24 -timmars klockan istället för AM eller PM för att ange tiden. 
 -ts, --start [startdatum] [start]

Informera om användare 

 -u, --användare

Skriv ut versionen och avsluta verktyget 

 -v, --version

Rapport om körbara filer 

 -x, -körbar

Slutligen, för att få allmän hjälp från verktyget kan vi köra man aureport. På detta sätt kan vi se hur det här verktyget tillåter oss att generera detaljerade rapporter om alla granskningsfrågor i Linux -miljöer, i det här fallet CentOS 7, och därmed genomföra en mycket mer komplett administration av serverhändelser.

wave wave wave wave wave

Populära Inlägg

wave
1
post-title
Så här ansluter du Galaxy S8 eller Note 8 till Smart TV
2
post-title
Hur man sätter Xiaomi Mi A2 Lite batteriprocent
3
post-title
▷ Hur man tar bort en Disney Plus -profil
4
post-title
Vad är UFS 3.0 och jämförelse med eMMC
5
post-title
▷ Så här installerar du Skype på Ubuntu 20.04

Rekommenderas

wave
- Sponsored Ad -

Redaktionen

wave
- Sponsored Ad -