Jak vytvořit protokoly auditu aureport v Centos 7

Jak vytvořit protokoly auditu aureport v Centos 7

Neustálé monitorování našich serverů zaručuje jejich integritu a funkčnost za všech okolností, zvláště pokud jde o servery v produktivním prostředí. Pravidelné provádění bezpečnostních auditů v systému nám zaručuje, že budeme aktuální a o krok napřed tváří v tvář možným hrozbám a zranitelnostem, které systém může mít.

Audity by měly být v oblasti IT brány jako častý úkol, aby se v budoucnosti předešlo mnohem radikálnějším akcím, které ovlivňují uživatelské role, služby nebo prvky.

Nyní společnost Solvetic ukáže, jak můžeme generovat zprávy o auditu, které jsou životně důležité pro schůzky vedení, podpory nebo protokoly událostí, ke kterým dochází na serveru, v tomto případě mluvíme o CentOS 7.

Co je aureportNástroj aureport byl navržen tak, aby nám umožnil generovat konkrétní a důležité zprávy o událostech zaznamenaných v souborech protokolu auditu.

Ve výchozím nastavení jsou pro vytvoření sestavy dotazovány všechny soubory audit.log uložené v adresáři / var / log / audit /. Ve zprávě bude možné určit jiný soubor, proti kterému se má sestava spustit, pomocí příkazu aureport -if název_souboru.

Aureport nám nabízí různé alternativy pro jeho použití a každá nám dá jiný výsledek, tyto možnosti jsou následující.

1. Vytvořte zprávu o klíčích aureportu pravidla auditu


Pokud použijeme parametr -k, aureport vytvoří zprávu o všech klíčích definovaných v pravidlech auditu.

Jeho provedení je: 

 aureport -k
Jeho výsledek je následující:

Zde můžeme vidět podrobné informace udávající datum, čas a událost, ke které došlo. Je možné povolit interpretaci číselných entit v textu (například převod UID na název účtu) pomocí volby -i: 

 aureport -k -i

2. Vytvořte zprávu o pokusech o autentizaci v systému aureport


Je možné, že z bezpečnostních a kontrolních důvodů potřebujeme zprávu o všech událostech souvisejících s pokusy o autentizaci všech uživatelů v CentOS 7, k tomu použijeme parametr -au. 
 aureport -au aureport -au -i
Výsledkem bude následující:

3. Generujte zprávy přidružené k přihlášení do aureportu


Díky parametru -l bude možné aureportu sdělit, aby generoval zprávu o všech přihlášeních v CentOS 7.
Provedeme následující: 
 aureport -l
Získaný výsledek bude následující:

Detailně vidíme datum a čas přihlášení.

4. Vygenerujte zprávu o neúspěšných událostech v systému aureport


Pokud chceme získat zprávu o událostech s chybou v CentOS 7, což je praktické podrobně vědět, jaká událost a kdy byla generována, můžeme provést následující: 
 aureport -se nezdařilo

Můžeme vidět kategorie událostí s příslušnou částkou.

5. Vygenerujte zprávu za určené časové období aureport


S aureportem je možné generovat zprávy za konkrétní časové období; Parametr -ts definuje počáteční datum a čas a hodnota -te určuje datum a čas ukončení.

Kromě toho je možné místo formátů v reálném čase používat slova jako nyní, nedávné, dnes, včera, tento týden, tento týden, tento měsíc, tento rok.

Můžeme provozovat linky jako: 

 aureport -ts 20/09/2017 08:00:00 -te now --summary -i aureport -ts today -te now --summary -i

6. Generujte zprávy pomocí jiného souboru protokolu aureport


Je možné vytvořit sestavu pomocí jiného souboru než výchozí soubory protokolu v adresáři / var / log / audit, k tomu musíme použít parametr -if, abychom na soubor odkazovali: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
Další užitečné parametry pro použití s ​​aureport jsou:

Zprávy o pokusech o ověření 

 -au, --auth

Report on avc messages 
 -a, --avc

Nahlásit změny konfigurace 

 -c, --config

Reportujte o událostech s kryptoměnami 

 -cr, --crypto

Zpráva o událostech 

 -e, --událost

Zpráva o souborech 
 -f, --soubor

Vyberte neúspěšné události, které chcete zpracovat v sestavách 
 -se nezdařilo

Zprávy o hostitelích 

 -h, --hostitel

Vytiskne souhrn příkazu, který má být proveden 

 --Pomoc

Interpretujte číselné entity v textuNapříklad uid se stane názvem účtu. Převod se provádí pomocí aktuálních prostředků stroje, na kterém běží vyhledávání 

 -i, -interpretovat
.

Využívá uvedený souborTo pomáhá analýze, pokud byly záznamy přesunuty na jiný počítač nebo byla uložena pouze část záznamu. 

 -if, --vstupní soubor

Používá umístění souboru protokolu auditd.conf jako vstup pro analýzuTo je nutné, pokud používáte aureport z úlohy cron. 

 --vstupní protokoly

Zprávy o klíčích pravidel auditu 

 -k, -klíč

Zprávy o přihlášení 

 -l, --login

Zpráva o úpravách účtu 

 -m, --mods

Zprávy o událostech povinného řízení přístupu (MAC) 

 -ma, --mac

Zprávy o anomáliíchMezi tyto události patří NIC, které procházejí promiskuitními a segfaultujícími programy. 

 -n, --anomálie

Umožňuje vybrat události pocházející z řetězce názvů uzlů, které se mají zpracovat v sestaváchVýchozí je zahrnout všechny uzly. Je povoleno více uzlů. 

 --node název-uzlu

Zpráva o aktuálních procesech 

 -p, --pid

Zprávy o reakcích na události selhání 

 -r, -odpověď

Reportáž o syscallech 

 -s, --syscall

Vyberte pouze úspěšné události pro zpracování v sestaváchVýchozí nastavení je úspěšné. 

 --úspěch

Spustí souhrnnou zprávu, která poskytuje součet položek hlavní sestavy 

 -shrnuje

Tato možnost zobrazí zprávu o časech začátku a konce každého záznamu. 

 -t, --log

Hledá události s časovými razítky stejnými nebo staršími než daný čas ukončení.Formát času ukončení závisí na vašem národním prostředí. Pokud je datum vynecháno, předpokládá se dnešek. Pokud je čas vynechán, nyní se předpokládá. K určení času můžeme použít 24hodinový formát namísto AM nebo PM. Pamatujte, že je možné použít slova jako: teď, nedávno, dnes, včera, tento týden, týden, tento měsíc, letos. Dnešek znamená začít hned. Nedávné je před 10 minutami. Včera je 1 sekundu po půlnoci předchozího dne. Tento týden znamená začátek 1 sekundu po půlnoci v 0. den v týdnu určený vaší polohou (viz místní čas). Tento měsíc znamená 1 sekundu po půlnoci 1. v měsíci. Letos to znamená 1 sekundu po půlnoci prvního dne prvního měsíce. 

 -te, --end [end-date] [end-time]

Informuje o terminálech 

 -tm, -koncovka

Hledá události s časovým razítkem rovným nebo pozdějším než je daný čas ukončeníFormát času ukončení závisí na vašem národním prostředí. Pokud je datum vynecháno, předpokládá se dnešek. Pokud je čas vynechán, předpokládá se půlnoc. K určení času můžeme použít 24hodinový formát namísto AM nebo PM. 
 -ts, --start [datum zahájení] [start]

Informovat o uživatelích 

 -u, -uživatel

Vytiskněte si verzi a ukončete obslužný program 

 -v, --verze

Zpráva o spustitelných souborech 

 -x, -spustitelný

Nakonec, abychom získali obecnou pomoc s tímto nástrojem, můžeme spustit man aureport. Tímto způsobem vidíme, jak nám tento nástroj umožňuje generovat podrobné zprávy o všech problémech s auditem v prostředích Linuxu, v tomto případě CentOS 7, a tak provádět mnohem komplexnější správu událostí serveru.

Vám pomůže rozvoji místa, sdílet stránku s přáteli

wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
▷ Jak úplně nastavit soukromý Facebook 2021 na iPhone, Android nebo PC
2
post-title
▷ Aktivujte fotoaparát Chromebooku - Notebook
3
post-title
Jak vytvořit snímek obrazovky v Xiaomi Redmi Note 6 Pro
4
post-title
Jak nainstalovat nebo odinstalovat ovladač Bluetooth Windows 10
5
post-title
Odstraňte chat, zprávy a archivujte konverzace na Facebooku

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -