Kako stvoriti izvješća dnevnika revizije aureport u Centos 7

Kako stvoriti izvješća dnevnika revizije aureport u Centos 7 | Linux / Unix 2024
Kako stvoriti izvješća dnevnika revizije aureport u Centos 7 | Linux / Unix 2024

Stalno praćenje naših poslužitelja jamči njihov integritet i funkcionalnost u svakom trenutku, posebno kada su u pitanju poslužitelji u produktivnim okruženjima. Periodično provođenje sigurnosnih revizija sustava jamči nam da smo ažurni i korak ispred suočeni s mogućim prijetnjama i ranjivostima koje sustav može imati.

Revizije treba uzeti kao čest zadatak unutar IT područja kako bi se spriječile mnogo radikalnije radnje u budućnosti koje utječu na uloge korisnika, usluge ili elemente.

Sada će Solvetic pokazati kako možemo generirati revizorska izvješća koja su vitalna za sastanke uprave, podršku ili evidenciju događaja koji se događaju na poslužitelju, u ovom slučaju govorimo o CentOS -u 7.

Što je aureportUslužni program aureport osmišljen je tako da nam omogućuje generiranje konkretnih i vitalnih izvješća o događajima zabilježenim u datotekama dnevnika revizije.

Prema zadanim postavkama, sve datoteke audit.log smještene u / var / log / audit / direktoriju upitane su za stvaranje izvješća. U izvješću će biti moguće navesti drugu datoteku za izvođenje izvješća pomoću naredbe aureport -ako je naziv datoteke.

Aureport nam nudi razne alternative za njegovu uporabu, a svaka će nam dati drugačiji rezultat. Ove su opcije sljedeće.

1. Izradite izvješće o ključevima revizorskog pravila aureport


Ako koristimo -k parametar, aureport će izraditi izvješće o svim ključevima definiranim u pravilima revizije.

Njegovo izvršenje je: 

 aureport -k
Njegov rezultat je sljedeći:

Tamo možemo vidjeti detaljne informacije koje ukazuju na datum, vrijeme i događaj koji se dogodio. Moguće je omogućiti tumačenje numeričkih entiteta u tekstu (poput pretvaranja UID -a u naziv računa) pomoću opcije -i: 

 aureport -k -i

2. Izradite izvješće o pokušajima provjere autentičnosti u sustavu aureport


Moguće je da nam je iz sigurnosnih i kontrolnih razloga potrebno izvješće o svim događajima vezanim uz pokušaje autentifikacije svih korisnika u CentOS -u 7, za to ćemo koristiti parametar -au. 
 aureport -au aureport -au -i
Rezultat će biti sljedeći:

3. Generirajte izvješća povezana s prijavama na aureport


Zahvaljujući parametru -l bit će moguće reći aureportu da generira izvješće o svim prijavama u CentOS 7.
Izvršit ćemo sljedeće: 
 aureport -l
Dobiveni rezultat bit će sljedeći:

Možemo detaljno vidjeti datum i vrijeme prijave.

4. Generirajte izvješće o neuspjelim događajima u sustavu aureport


Ako želimo dobiti izvješće o događajima s greškom u CentOS -u 7, što je praktično znati do detalja koji je događaj i kada je generiran, možemo izvršiti sljedeće: 
 aureport -failed

Možemo vidjeti kategorije događaja s odgovarajućim iznosom.

5. Izradite izvješće za određeni vremenski period


Uz aureport moguće je generirati izvješća za određeno vremensko razdoblje; Parametar -ts definira datum i vrijeme početka, a vrijednost -te postavlja datum i vrijeme završetka.

Osim toga, moguće je koristiti riječi poput sada, nedavno, danas, jučer, ovaj tjedan, ovaj tjedan, ovaj mjesec, ove godine umjesto formata u stvarnom vremenu.

Možemo pokrenuti linije poput: 

 aureport -ts 20.9.2017. 08:00:00 -te sada -sažetak -i aureport -ts danas -te sada -sažetak -i

6. Generirajte izvješća koristeći drugu datoteku dnevnika aureport


Moguće je stvoriti izvješće koristeći datoteku koja nije zadana datoteka dnevnika u direktoriju / var / log / audit, za to moramo upotrijebiti zastavicu -if za upućivanje na datoteku: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
Drugi korisni parametri za korištenje s aureportom su:

Izvješća o pokušajima provjere autentičnosti 

 -au, --auth

Izvješće o AVC porukama 
 -a, --avc

Prijavite promjene konfiguracije 

 -c, --config

Izvjestite o kripto događajima 

 -cr, --crypto

Izvještaj o događajima 

 -e, --event

Izvješće o datotekama 
 -f, --datoteka

Odaberite neuspjele događaje za obradu u izvješćima 
 --neuspjeh

Izvješća o domaćinima 

 -h, --host

Ispisuje sažetak naredbe koju treba izvršiti 

 --Pomozite

Tumačite numeričke entitete u tekstuNa primjer, uid postaje naziv računa. Pretvorba se vrši pomoću trenutnih resursa stroja na kojem se traži pretraživanje 

 -i, --tumačiti
.

Koristi označenu datotekuTo pomaže pri analizi kada su zapisi premješteni na drugi stroj ili je spremljen samo dio zapisa. 

 -if, --input datoteka

Koristi lokaciju log datoteke auditd.conf kao ulaz za analizuTo je potrebno ako koristite aureport s cron posla. 

 --input-logs

Izvješća o ključevima pravila revizije 

 -k, --ključ

Izvješća o prijavama 

 -l, --prijava

Izvješće o izmjenama računa 

 -m, --mods

Izvješća o događajima obvezne kontrole pristupa (MAC) 

 -ma, --mac

Izvješća o događajima anomalijaTi događaji uključuju mrežne kartice koje idu na promiskuitetne i segfault programe. 

 -n, --anomalija

Omogućuje odabir događaja koji potječu iz niza naziva čvorova za obradu u izvješćimaZadano je uključiti sve čvorove. Dopušteno je više čvorova. 

 --node čvor-ime

Izvješće o trenutnim procesima 

 -p, --pid

Izvješća o odgovorima na događaje neuspjeha 

 -r, --odgovor

Izvješće o sistemskim pozivima 

 -s, --syscall

Odaberite samo uspješne događaje za obradu u izvješćimaZadana vrijednost je uspješna. 

 --uspjeh

Pokreće sažeto izvješće koje sadrži ukupno glavne stavke izvješća 

 -sažima

Ova opcija prikazuje izvješće o vremenu početka i završetka svakog zapisa. 

 -t, --log

Pretražuje događaje s vremenskim oznakama jednakim ili starijim od zadanog vremena završetka.Format vremena završetka ovisi o vašem području. Ako je datum izostavljen, pretpostavlja se današnji dan. Ako je vrijeme izostavljeno, sada se pretpostavlja. Za određivanje vremena možemo koristiti 24 -satni sat umjesto AM ili PM. Upamtite da je moguće koristiti riječi poput: sada, nedavno, danas, jučer, ovaj tjedan, tjedan, ovaj mjesec, ove godine. Danas znači početi sada. Nedavno je bilo prije 10 minuta. Jučer je 1 sekunda iza ponoći dan ranije. Ovaj tjedan znači započeti 1 sekundu nakon ponoći 0 -og dana u tjednu određenog vašim mjestom (pogledajte lokalno vrijeme). Ovaj mjesec znači 1 sekundu nakon ponoći 1. u mjesecu. Ova godina znači 1 sekundu iza ponoći prvog dana prvog mjeseca. 

 -te, --end [datum završetka] [vrijeme završetka]

Informira o terminalima 

 -tm, --terminal

Traži događaje s vremenskim oznakama jednakim ili kasnijim od zadanog vremena završetkaFormat vremena završetka ovisi o vašem području. Ako je datum izostavljen, pretpostavlja se današnji dan. Ako je vrijeme izostavljeno, pretpostavlja se ponoć. Za određivanje vremena možemo koristiti 24 -satni sat umjesto AM ili PM. 
 -ts, --start [datum početka] [početak]

Informirajte se o korisnicima 

 -u, --korisnik

Ispišite verziju i izađite iz uslužnog programa 

 -v, --verzija

Izvješće o izvršnim datotekama 

 -x, --izvršno

Konačno, za opću pomoć od uslužnog programa možemo pokrenuti man aureport. Na ovaj način možemo vidjeti kako nam ovaj uslužni program omogućuje generiranje detaljnih izvješća o svim pitanjima revizije u Linux okruženjima, u ovom slučaju CentOS 7, te na taj način nosi puno potpuniju administraciju poslužiteljskih događaja.

wave wave wave wave wave

Popularni Postovi

wave
1
post-title
▷ Kako znati koji program koristi TCP port 80, 8080 ili drugi
2
post-title
Poništite i uklonite zaboravljenu lozinku za Windows 10 bez formatiranja Hiren -ovog BootCD PE
3
post-title
Kako riješiti problem sa zvukom Xiaomi Mi A2
4
post-title
Najbolji trikovi i kako postaviti Face ID na iPhone Xs i Xs Max
5
post-title
PHP Rad s nizovima ili nizovima

Preporučeno

wave
- Sponsored Ad -

Izbor Urednika

wave
- Sponsored Ad -