Cum se creează rapoarte de jurnal de audit aureport în Centos 7

Cum se creează rapoarte de jurnal de audit aureport în Centos 7

Monitorizarea constantă a serverelor noastre garantează integritatea și funcționalitatea acestora în orice moment, mai ales când vine vorba de servere în medii productive. Efectuarea periodică a auditurilor de securitate a sistemului ne garantează că suntem la curent și cu un pas înainte în fața posibilelor amenințări și vulnerabilități pe care le poate avea sistemul.

Auditurile ar trebui luate ca o sarcină frecventă în zona IT pentru a preveni acțiuni mult mai radicale în viitor care afectează rolurile, serviciile sau elementele utilizatorilor.

Acum, Solvetic va indica modul în care putem genera rapoarte de audit care sunt vitale pentru întâlnirile de management, suporturile sau jurnalele de evenimente care apar pe un server, în acest caz vorbim despre CentOS 7.

Ce este aureportUtilitarul aureport a fost conceput pentru a ne permite să generăm rapoarte concrete și vitale despre evenimentele înregistrate în fișierele jurnal de audit.

În mod implicit, toate fișierele audit.log găzduite în directorul / var / log / audit / sunt interogate pentru a crea raportul. În raport va fi posibil să specificați un fișier diferit pentru a rula raportul folosind comanda aureport -ifnume fișier.

Aureport ne oferă diverse alternative de utilizare și fiecare ne va oferi un rezultat diferit, aceste opțiuni sunt următoarele.

1. Creați un raport pe cheile regulii de audit aureport


Dacă folosim parametrul -k, aureport va produce un raport asupra tuturor cheilor definite în regulile de audit.

Executarea sa este: 

 aureport -k
Rezultatul său este următorul:

Acolo putem vedea informații detaliate care indică data, ora și evenimentul care a avut loc. Este posibil să activați interpretarea entităților numerice în text (cum ar fi convertirea UID în numele contului) utilizând opțiunea -i: 

 aureport -k -i

2. Creați un raport privind încercările de autentificare în sistemul aureport


Este posibil ca, din motive de securitate și control, să avem nevoie de un raport asupra tuturor evenimentelor legate de încercările de autentificare ale tuturor utilizatorilor din CentOS 7, pentru aceasta vom folosi parametrul -au. 
 aureport -au aureport -au -i
Rezultatul va fi următorul:

3. Generați rapoarte asociate cu datele de conectare aureport


Datorită parametrului -l va fi posibil să-i spuneți aureport să genereze un raport al tuturor autentificărilor din CentOS 7.
Vom executa următoarele: 
 aureport -l
Rezultatul obținut va fi următorul:

Putem vedea în detaliu data și ora conectărilor.

4. Generați raportul evenimentelor eșuate în sistemul aureport


Dacă dorim să obținem un raport despre evenimentele cu eroare în CentOS 7, ceea ce este practic pentru a cunoaște în detaliu ce eveniment și când a fost generat, putem executa următoarele: 
 aureport - eșuat

Putem vedea categoriile de evenimente cu suma respectivă.

5. Generați un raport pentru o anumită perioadă de timp


Cu aureport este posibil să se genereze rapoarte pentru o anumită perioadă de timp; Parametrul -ts definește data și ora de începere, iar valoarea -te stabilește data și ora de încheiere.

În plus, este posibil să utilizați cuvinte precum acum, recent, azi, ieri, săptămâna aceasta, săptămâna aceasta, luna aceasta, anul acesta în locul formatelor în timp real.

Putem rula linii precum: 

 aureport -ts 20/09/2017 08:00:00 -te acum - rezumat -i aureport -ts astăzi -te acum - rezumat -i

6. Generați rapoarte utilizând un alt fișier jurnal aureport


Este posibil să creați un raport utilizând un fișier altul decât fișierele jurnal implicite din directorul / var / log / audit, pentru aceasta trebuie să folosim semnalizatorul -if pentru a ne referi la fișier: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
Alți parametri utili de utilizat cu aureport sunt:

Rapoarte privind încercările de autentificare 

 -au, --auth

Raportați mesajele avc 
 -a, --avc

Raportați modificările de configurare 

 -c, --config

Raportați despre evenimentele cripto 

 -cr, --crypto

Raport despre evenimente 

 -e, --eveniment

Raportați despre fișiere 
 -f, --file

Selectați evenimentele eșuate de procesat în rapoarte 
 --a eșuat

Rapoarte despre gazde 

 -h, --host

Tipărește un rezumat al comenzii de executat 

 --Ajutor

Interpretează entități numerice în textDe exemplu, uidul devine un nume de cont. Conversia se face folosind resursele actuale ale mașinii pe care se execută căutarea 

 -i, --interpret
.

Folosește fișierul indicatAcest lucru ajută la analiză atunci când înregistrările au fost mutate pe o altă mașină sau numai o parte a înregistrării a fost salvată. 

 -if, --input fișier

Folosește locația fișierului jurnal auditd.conf ca intrare pentru analizăAcest lucru este necesar dacă utilizați aureport dintr-un job cron. 

 --input-logs

Rapoarte privind cheile regulilor de audit 

 -k, --tastă

Rapoarte despre conectări 

 -l, --login

Raportați modificările contului 

 -m, --mods

Rapoarte despre evenimente de control al accesului obligatoriu (MAC) 

 -ma, --mac

Rapoarte despre evenimente de anomalieAceste evenimente includ NIC-uri care merg la programe promiscuoase și separate. 

 -n, --anomalie

Vă permite să selectați evenimentele care provin din șirul de nume de noduri pentru a fi procesate în rapoarteImplicit este să includă toate nodurile. Sunt permise mai multe noduri. 

 --node nod-nume

Raport asupra proceselor actuale 

 -p, --pid

Rapoarte despre răspunsurile la evenimentele de eșec 

 -r, --response

Raportați despre syscalls 

 -s, --syscall

Selectați numai evenimente de succes pentru procesare în rapoarteValoarea implicită are succes. 

 --succes

Rulează un raport sumar care oferă un total de elemente principale ale raportului 

 - rezumă

Această opțiune afișează un raport al orelor de început și de sfârșit ale fiecărei înregistrări. 

 -t, --log

Caută evenimente cu marcaje de timp egale sau mai vechi decât ora de încheiere dată.Formatul orei de sfârșit depinde de setările locale. Dacă data este omisă, se presupune că astăzi. Dacă timpul este omis, acum se presupune. Putem folosi ceasul de 24 de ore în loc de AM sau PM pentru a specifica ora. Amintiți-vă că este posibil să folosiți cuvinte precum: acum, recent, azi, ieri, săptămâna aceasta, săptămâna, luna aceasta, anul acesta. Astăzi înseamnă a începe acum. Recent este acum 10 minute. Ieri este 1 secundă după miezul nopții cu o zi înainte. Această săptămână înseamnă a începe 1 secundă după miezul nopții în a 0-a zi a săptămânii determinată de locația dvs. (consultați ora locală). Această lună înseamnă 1 secundă după miezul nopții pe 1 a lunii. Anul acesta înseamnă 1 secundă după miezul nopții din prima zi a primei luni. 

 -te, --end [data de sfârșit] [ora de sfârșit]

Informează despre terminale 

 -tm, --terminal

Caută evenimente cu marcaje de timp egale sau mai târziu decât ora de încheiere datăFormatul orei de sfârșit depinde de setările locale. Dacă data este omisă, se presupune că astăzi. Dacă timpul este omis, se presupune miezul nopții. Putem folosi ceasul de 24 de ore în loc de AM sau PM pentru a specifica ora. 
 -ts, --start [data de începere] [start]

Informați despre utilizatori 

 -u, --utilizator

Imprimați versiunea și ieșiți din utilitar 

 -v, --versiune

Raport asupra executabilelor 

 -x, --executabil

În cele din urmă, pentru a obține ajutor general de la utilitate putem rula man aureport. În acest fel, putem vedea cum acest utilitar ne permite să generăm rapoarte detaliate cu privire la toate problemele de audit din mediile Linux, în acest caz CentOS 7, și astfel să organizăm o administrare mult mai completă a evenimentelor serverului.

Vei ajuta la dezvoltarea site-ului, partajarea pagina cu prietenii

wave wave wave wave wave

Posturi Populare

wave
1
post-title
Cum se obține o listă a programelor instalate cu Powershell
2
post-title
▷ Cum se instalează Ubuntu 21.04 pe VMware
3
post-title
▷ Ecran de blocare PC Windows 10 ✔️ Comandă
4
post-title
▷ Marcați toate e-mailurile ca citite ✔️ Outlook - 2021
5
post-title
Cum să ștergeți foaia goală în Word Mac

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -