Sådan oprettes aureport -revisionslograpporter i Centos 7

Sådan oprettes aureport -revisionslograpporter i Centos 7 | Linux / Unix 2024
Sådan oprettes aureport -revisionslograpporter i Centos 7 | Linux / Unix 2024

Konstant overvågning af vores servere garanterer deres integritet og funktionalitet til enhver tid, især når det kommer til servere i produktive miljøer. Udførelse af sikkerhedsrevisioner periodisk for systemet garanterer os at være opdaterede og et skridt foran i lyset af mulige trusler og sårbarheder, som systemet kan have.

Revisioner bør tages som en hyppig opgave inden for IT -området for at forhindre meget mere radikale handlinger i fremtiden, der påvirker brugerroller, tjenester eller elementer.

Nu vil Solvetic angive, hvordan vi kan generere revisionsrapporter, der er afgørende for ledelsesmøder, understøttelser eller logfiler over begivenheder, der opstår på en server, i dette tilfælde taler vi om CentOS 7.

Hvad er aureportAureport -værktøjet er designet til at give os mulighed for at generere konkrete og vitale rapporter om de begivenheder, der er registreret i revisionslogfilerne.

Som standard forespørges alle audit.log -filer i mappen / var / log / audit / for at oprette rapporten. I rapporten vil det være muligt at angive en anden fil til at køre rapporten mod ved hjælp af kommandoen aureport -if filnavn.

Aureport tilbyder os forskellige alternativer til brug, og hver enkelt vil give os et andet resultat, disse muligheder er som følger.

1. Opret rapport om nøglerne til revisionsregel aureport


Hvis vi bruger parameteren -k, vil aureport producere en rapport om alle de nøgler, der er defineret i revisionsreglerne.

Dets udførelse er: 

 aureport -k
Resultatet er følgende:

Der kan vi se detaljerede oplysninger, der angiver dato, tid og begivenhed, der fandt sted. Det er muligt at muliggøre fortolkning af numeriske enheder i tekst (f.eks. Konvertering af UID til kontonavn) ved hjælp af -i -indstillingen: 

 aureport -k -i

2. Opret rapport om godkendelsesforsøg i aureportsystemet


Det er muligt, at vi af sikkerheds- og kontrolmæssige årsager har brug for en rapport om alle hændelser relateret til godkendelsesforsøg for alle brugerne i CentOS 7, til dette vil vi bruge parameteren -au. 
 aureport -au aureport -au -i
Resultatet bliver følgende:

3. Generer rapporter forbundet med aureport -logins


Takket være parameteren -l vil det være muligt at fortælle aureport at generere en rapport om alle logins i CentOS 7.
Vi vil udføre følgende: 
 aureport -l
Det opnåede resultat vil være følgende:

Vi kan i detaljer se dato og klokkeslæt for logins.

4. Generer rapport om fejlslagne hændelser i aureportsystemet


Hvis vi ønsker at få en rapport om begivenhederne med fejl i CentOS 7, som er praktisk at vide detaljeret, hvilken hændelse og hvornår den blev genereret, kan vi udføre følgende: 
 aureport -mislykkedes

Vi kan se kategorierne af begivenheder med det respektive beløb.

5. Generer en rapport for en bestemt periode aureport


Med aureport er det muligt at generere rapporter i en bestemt periode; Parameteren -ts definerer startdato og -tidspunkt, og -te -værdien angiver en slutdato og -tidspunkt.

Derudover er det muligt at bruge ord som nu, nylig, i dag, i går, i denne uge, i denne uge, i denne måned, i år i stedet for realtidsformater.

Vi kan køre linjer som: 

 aureport -ts 20/09/2017 08:00:00 -te nu -resumé -i aureport -ts i dag -te nu -summering -i

6. Generer rapporter ved hjælp af en anden logfil aureport


Det er muligt at oprette en rapport ved hjælp af en anden fil end standard -logfilerne i / var / log / audit -biblioteket, for dette skal vi bruge -if -flag til at henvise til filen: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
Andre nyttige parametre til brug med aureport er:

Rapporter om godkendelsesforsøg 

 -au, --auth

Rapport om avc -beskeder 
 -a, --avc

Rapportkonfigurationsændringer 

 -c, --konfig

Rapport om krypto -begivenheder 

 -cr, --crypto

Beretning om begivenheder 

 -e, -begivenhed

Rapport om filer 
 -f, --fil

Vælg mislykkede begivenheder, der skal behandles i rapporter 
 --mislykkedes

Rapporter om værter 

 -h, -vært

Udskriver en oversigt over den kommando, der skal udføres 

 --Hjælp

Fortolk numeriske enheder i tekstFor eksempel bliver uid et kontonavn. Konverteringen udføres ved hjælp af de aktuelle ressourcer på den maskine, hvor søgningen kører 

 -i, -fortolke
.

Gør brug af den angivne filDette hjælper med at analysere, når poster er blevet flyttet til en anden maskine, eller kun en del af en post er blevet gemt. 

 -if, --inputfil

Bruger placeringen af ​​auditd.conf -logfilen som input til analyseDette er nødvendigt, hvis du bruger aureport fra et cron -job. 

 -input-logs

Rapporter om nøgler til revisionsregler 

 -k, --nøgle

Rapporter om logins 

 -l, --login

Rapport om kontoændringer 

 -m, --mods

Rapporter om obligatorisk adgangskontrol (MAC) -hændelser 

 -ma, --mac

Rapporter om anomali begivenhederDisse begivenheder omfatter NIC'er, der går til promiskuøse og segfaulting -programmer. 

 -n, --anomali

Giver dig mulighed for at vælge de begivenheder, der stammer fra strengen med nodenavne, der skal behandles i rapporterStandard er at inkludere alle noder. Flere noder er tilladt. 

 -knudepunktsnavn

Rapport om aktuelle processer 

 -p, --pid

Rapporter om svar på fejlbegivenheder 

 -r, -svar

Rapport om syscalls 

 -s, --syscall

Vælg kun vellykkede begivenheder til behandling i rapporterStandarden er vellykket. 

 --succes

Kører en opsummerende rapport, der indeholder i alt de vigtigste rapportelementer 

 -opsummerer

Denne indstilling viser en rapport om start- og sluttiderne for hver post. 

 -t, --log

Søger efter begivenheder med tidsstempler, der er lig med eller ældre end det givne sluttidspunkt.Sluttidens format afhænger af din lokalitet. Hvis datoen udelades, antages i dag. Hvis tiden udelades, antages det nu. Vi kan bruge 24 -timers uret i stedet for AM eller PM til at angive tidspunktet. Husk, at det er muligt at bruge ord som: nu, nylig, i dag, i går, i denne uge, uge, denne måned, i år. I dag betyder at starte nu. Seneste er for 10 minutter siden. I går er 1 sekund efter midnat dagen før. Denne uge betyder, at du starter 1 sekund efter midnat på den 0. dag i ugen, der er bestemt af din placering (se lokal tid). Denne måned betyder 1 sekund efter midnat den 1. i måneden. I år betyder 1 sekund efter midnat den første dag i den første måned. 

 -te, --end [slutdato] [sluttid]

Informerer om terminaler 

 -tm, --terminal

Søger efter begivenheder med tidsstempler svarende til eller senere end det givne sluttidspunktSluttidens format afhænger af din lokalitet. Hvis datoen udelades, antages i dag. Hvis tiden udelades, antages midnat. Vi kan bruge 24 -timers uret i stedet for AM eller PM til at angive tidspunktet. 
 -ts, --start [startdato] [start]

Informer om brugere 

 -u, --bruger

Udskriv versionen, og afslut hjælpeprogrammet 

 -v, -version

Rapport om eksekverbare filer 

 -x, -eksekverbar

Endelig kan vi køre man aureport for at få generel hjælp fra hjælpeprogrammet. På denne måde kan vi se, hvordan dette værktøj giver os mulighed for at generere detaljerede rapporter om alle revisionsproblemer i Linux -miljøer, i dette tilfælde CentOS 7, og dermed udføre en meget mere komplet administration af serverhændelser.

wave wave wave wave wave

Populære Indlæg

wave
1
post-title
Sprog i PrestaShop
2
post-title
Aktiver USB -skrivebeskyttelse Windows 10
3
post-title
▷ Se operativsystemet efter CMD eller PowerShell - Windows
4
post-title
Sådan fjernes lyd fra Xiaomi Mi Mix 2 kamera
5
post-title
Kommenter i Microsoft Edge

Anbefalet

wave
- Sponsored Ad -

Redaktørens Valg

wave
- Sponsored Ad -