Kako ustvariti poročila iz revizijskih dnevnikov z uporabo „aureport“ na CentOS/RHEL

Ta članek je naša tekoča serija dnevnikov poizvedb s pripomočkom ausearch.

V tem tretjem delu bomo razložili, kako ustvariti poročila iz revizijskih datotek z uporabo pripomočka aureport v distribucijah Linux na osnovi CentOS in RHEL.

aureport je pripomoček v ukazni vrstici, ki se uporablja za ustvarjanje uporabnih povzetkov poročil iz revizijskih datotek dnevnika, shranjenih v/var/log/audit /. Tako kot ausearch sprejema tudi surove podatke dnevnika iz stdina.

Je enostaven za uporabo; preprosto podajte možnost za določeno vrsto poročila, ki ga potrebujete, kot je prikazano v spodnjih primerih.

Ukaz aurepot bo z zastavo -k izdelal poročilo o vseh ključih, ki ste jih določili v pravilih revizije.

# aureport -k

Interpretiranje številskih entitet v besedilo lahko omogočite (na primer pretvorite UID v ime računa) z možnostjo -i .

# aureport -k -i

Če potrebujete poročilo o vseh dogodkih v zvezi s poskusi preverjanja pristnosti za vse uporabnike, uporabite možnost -au .

# aureport -au 
OR
# aureport -au -i

Možnost -l pove aureportu, da ustvari poročilo o vseh prijavah, kot sledi.

Naslednji ukaz prikazuje, kako prijaviti vse neuspele dogodke.

# aureport --failed

Možno je tudi ustvarjanje poročil za določeno časovno obdobje; -ts določa začetni datum/čas, -te pa končni datum/čas. Namesto dejanskih oblik časa lahko uporabite tudi besede, kot so zdaj, nedavno, danes, včeraj, ta teden, pred tednom, ta mesec, leto.

# aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
# aureport -ts yesterday -te now --summary -i

Če želite ustvariti poročilo iz druge datoteke, ki ni privzeta, v imeniku/var/log/audit, uporabite datoteko -if za določitev datoteke.

Ta ukaz poroča o vseh prijavah, zabeleženih v /var/log/tecmint/hosts/node1.log.

# aureport -l -if /var/log/tecmint/hosts/node1.log

Vse možnosti in več informacij najdete na strani za aureport.

# man aureport

Spodaj je seznam člankov o upravljanju dnevnikov in orodij za ustvarjanje poročil v Linuxu:

  1. 4 dobra odprtokodna orodja za spremljanje in upravljanje dnevnikov za Linux
  2. SARG - Generator poročil o analizi lignjev in orodje za spremljanje pasovne širine interneta
  3. Smem-Poroča o porabi pomnilnika za vsak proces in osnovo za uporabnika v Linuxu
  4. Kako upravljati sistemske dnevnike (konfigurirati, sukati in uvoziti v bazo podatkov)

V tej vadnici smo pokazali, kako ustvariti zbirna poročila iz revizijskih datotek v RHEL/CentOS/Fedora. Uporabite spodnji razdelek za komentarje, če želite zastaviti kakršna koli vprašanja ali deliti mnenja o tem priročniku.

Nato bomo pokazali, kako preveriti določen proces s pomočjo pripomočka 'autrace', do takrat pa zaklenite na Tecmint.