Как да създадете отчети за дневници за одит на aureport в Centos 7

Как да създадете отчети за дневници за одит на aureport в Centos 7 | Linux / Unix 2024
Как да създадете отчети за дневници за одит на aureport в Centos 7 | Linux / Unix 2024

Постоянното наблюдение на нашите сървъри гарантира тяхната цялост и функционалност по всяко време, особено когато става въпрос за сървъри в продуктивна среда. Периодичното извършване на одити на сигурността на системата ни гарантира, че сме в крак с времето и една крачка напред пред възможните заплахи и уязвимости, които системата може да има.

Одитите трябва да се приемат като честа задача в областта на ИТ, за да се предотвратят много по -радикални действия в бъдеще, които засягат потребителските роли, услуги или елементи.

Сега Solvetic ще посочи как можем да генерираме одитни доклади, които са жизненоважни за управленските срещи, поддръжката или регистрационните файлове на събития, които се случват на сървър, в този случай говорим за CentOS 7.

Какво е aureportПомощната програма aureport е проектирана да ни позволи да генерираме конкретни и жизненоважни отчети за събитията, записани във файловете с одиторски журнали.

По подразбиране всички файлове на audit.log, поместени в директорията / var / log / audit /, се заявяват за създаване на отчета. В доклада ще бъде възможно да се посочи различен файл, срещу който да се изпълнява отчетът, като се използва командата aureport -ако име на файл.

Aureport ни предлага различни алтернативи за използването му и всяка от тях ще ни даде различен резултат, тези опции са следните.

1. Създайте отчет за ключовете на aureport на правилото за одит


Ако използваме параметъра -k, aureport ще изготви отчет за всички ключове, определени в правилата за одит.

Изпълнението му е: 

 aureport -k
Резултатът му е следният:

Там можем да видим подробна информация, посочваща датата, часа и събитието, което се е случило. Възможно е да активирате интерпретацията на числови обекти в текст (като например преобразуване на UID в име на акаунт), като използвате опцията -i: 

 aureport -k -i

2. Създайте отчет за опитите за удостоверяване в системата aureport


Възможно е от съображения за сигурност и контрол да се нуждаем от отчет за всички събития, свързани с опитите за удостоверяване на всички потребители в CentOS 7, за това ще използваме параметъра -au. 
 aureport -au aureport -au -i
Резултатът ще бъде следният:

3. Генерирайте отчети, свързани с влизания в aureport


Благодарение на параметъра -l ще бъде възможно да се каже на aureport да генерира отчет за всички влизания в CentOS 7.
Ще изпълним следното: 
 aureport -l
Полученият резултат ще бъде следният:

Можем да видим подробно датата и часа на влизане.

4. Генериране на доклад за неуспешни събития в системата aureport


Ако искаме да получим отчет за събитията с грешка в CentOS 7, който е практичен да знаем подробно какво събитие и кога е генерирано, можем да изпълним следното: 
 aureport -неуспешно

Можем да видим категориите събития със съответната сума.

5. Генерирайте отчет за определен период от време aureport


С aureport е възможно да се генерират отчети за определен период от време; Параметърът -ts определя началната дата и час, а стойността -te задава крайна дата и час.

Освен това е възможно да се използват думи като сега, скоро, днес, вчера, тази седмица, тази седмица, този месец, тази година вместо формати в реално време.

Можем да изпълняваме линии като: 

 aureport -ts 20/09/2017 08:00:00 -te сега -резюме -i aureport -ts днес -te сега -резюме -i

6. Генерирайте отчети, използвайки различен лог файл aureport


Възможно е да се създаде отчет, като се използва файл, различен от лог файловете по подразбиране в директорията / var / log / audit, за това трябва да използваме флага -if за препратка към файла: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
Други полезни параметри за използване с aureport са:

Доклади за опити за удостоверяване 

 -au, --auth

Доклад за AVC съобщения 
 -a, --avc

Подайте сигнал за промени в конфигурацията 

 -c, --config

Доклад за крипто събития 

 -cr, --crypto

Доклад за събитията 

 -e, --event

Доклад за файлове 
 -f, --file

Изберете неуспешни събития за обработка в отчетите 
 --се провали

Доклади за хостове 

 -h, --host

Отпечатва обобщение на командата за изпълнение 

 --помогне

Тълкувайте числови обекти в текстНапример uid става име на акаунт. Преобразуването се извършва с помощта на текущите ресурси на машината, където се извършва търсенето 

 -i, -тълкувам
.

Използва посочения файлТова помага при анализа, когато записите са преместени на друга машина или е запазена само част от записа. 

 -if, -входен файл

Използва местоположението на лог файла на auditd.conf като вход за анализТова е необходимо, ако използвате aureport от задание на cron. 

 --input-logs

Доклади за ключовете на правилата за одит 

 -k, -ключ

Отчети за влизания 

 -l, --login

Доклад за промени в акаунта 

 -m, --mods

Доклади за събития със задължителен контрол на достъпа (MAC) 

 -ma, -mac

Доклади за аномалииТези събития включват мрежови мрежи, които стартират безразборни и неизпълняващи програми. 

 -n, -аномалия

Позволява ви да изберете събития, произхождащи от низ от имена на възли за обработка в отчетиПо подразбиране е да се включат всички възли. Разрешени са множество възли. 

 --node възел-име

Доклад за текущите процеси 

 -p, --pid

Доклади за отговори на събития за неуспех 

 -r, --отговор

Доклад за системни повиквания 

 -s, --syscall

Изберете само успешни събития за обработка в отчетиПо подразбиране е успешно. 

 -успех

Изпълнява обобщен доклад, който предоставя общо основните елементи на отчета 

 -обобщава

Тази опция показва отчет за началното и крайното време на всеки запис. 

 -t, --log

Търси събития с времеви отметки, равни или по -стари от дадения краен час.Форматът на крайния час зависи от вашия регион. Ако датата е пропусната, се приема днес. Ако времето е пропуснато, сега се приема. Можем да използваме денонощния часовник вместо AM или PM за уточняване на часа. Не забравяйте, че е възможно да използвате думи като: сега, скоро, днес, вчера, тази седмица, седмица, този месец, тази година. Днес означава да започнете сега. Последното е преди 10 минути. Вчера е 1 секунда след полунощ предния ден. Тази седмица означава стартиране 1 секунда след полунощ на 0 -ия ден от седмицата, определен от вашето местоположение (вижте местното време). Този месец означава 1 секунда след полунощ на 1 -во от месеца. Тази година означава 1 секунда след полунощ на първия ден от първия месец. 

 -te, --end [крайна дата] [краен час]

Информира за терминалите 

 -tm, --терминал

Търси събития с времеви отметки, равни на или по -късни от дадения краен часФорматът на крайния час зависи от вашия регион. Ако датата е пропусната, се приема днес. Ако времето е пропуснато, се приема полунощ. Можем да използваме денонощния часовник вместо AM или PM за уточняване на часа. 
 -ts, --start [начална дата] [начало]

Информирайте за потребителите 

 -u, --user

Отпечатайте версията и излезте от помощната програма 

 -v, --version

Доклад за изпълними файлове 

 -x, --executable

И накрая, за да получим обща помощ от помощната програма, можем да стартираме man aureport. По този начин можем да видим как тази помощна програма ни позволява да генерираме подробни отчети по всички проблеми с одита в Linux среди, в този случай CentOS 7, и по този начин да носи много по -пълно администриране на сървърни събития.

wave wave wave wave wave

Популярни Публикации

wave
1
post-title
Как да активирате LED светлина за известия на LG G7
2
post-title
Създайте незаличима папка, без да можете да преименувате Windows 10, 8, 7
3
post-title
Java - Супер запазена дума
4
post-title
Как да зададете парола за Xbox Series X и Xbox Series S
5
post-title
▷ Създайте пряк път в Gmail Windows 10

Препоръчано

wave
- Sponsored Ad -

Избор На Редактора

wave
- Sponsored Ad -