في المقالة التالية سوف نلقي نظرة على تقرير أوريبورت. هذه هي الأداة التي ينتج تقارير موجزة عن سجلات النظام للتدقيق. يمكن لهذه الأداة أيضًا الاستفادة من ستدين طالما أن الإدخال هو معلومات السجل الأولية. تحتوي التقارير على تسمية عمود في الجزء العلوي للمساعدة في تفسير الحقول المختلفة. باستثناء تقرير الملخص الرئيسي ، تحتوي جميع التقارير على رقم حدث تدقيق.
يمكن استخدام التقارير التي تنتجها aureport كعناصر أساسية لتحليل أكثر تعقيدًا. شرق إنه ليس أمرًا معقدًا ، فهو سهل الاستخدام للغاية. في نهاية هذا المنشور ، أعتقد أننا سنعرف جميعًا المزيد عن الطرق التي يمكن من خلالها استخدام هذا الأمر إنشاء تقارير من نظامنا.
تركيب aureport
لتثبيت هذه الأداة على نظام Ubuntu الخاص بنا ، سنحتاج إلى تثبيت Auditd. هذا هو مكون مساحة المستخدم لنظام تدقيق Gnu / Linux. بعد التثبيت سنكون قادرين عرض السجلات مع ausearch أو aureport المرافق. يسمح برنامج Auditd للمسؤول عن نظام Gnu / Linux باستلام معلومات تدقيق الأمان التي تم إنشاؤها بواسطة kernel وتصفيتها وتخزينها في ملفات.
لتنفيذ التثبيت ، ل سأفعل هذا المثال على Ubuntu 17.10، سيتعين علينا فقط كتابة الأمر التالي في المحطة (Ctrl + Alt + T):
sudo apt install auditd
مع هذا سيكون لدينا كل ما نحتاجه مثبتًا وسنكون قادرين على استخدام هذه الأداة في الجهاز. إذا لم تستخدم حساب الجذر ، فسيتعين عليك ذلك إضافة sudo لكل من الأوامر.
باستخدام aureport
قم بتشغيل التقرير الموجز الذي تزودنا به إجمالي عناصر التقرير الرئيسية. ضع في اعتبارك أنه ليست كل التقارير تحتوي على ملخص يمكن استخدامه. إذا أردنا الحصول على التقرير الموجز الذي يمكن أن يوفره لنا aureport ، فسنضطر ببساطة إلى تنفيذ الأمر التالي في المحطة (Ctrl + Alt + T). يتم إنشاء تقرير الملخص كنتيجة:
aureport
في حالة الرغبة إنشاء تقرير المصادقة، سيتعين علينا تنفيذ الأمر باستخدام الامتداد الخيار au. في المحطة ، سيتعين علينا كتابته على النحو التالي:
aureport -au
يمكن للأمر أيضًا أن يوضح لنا ملف تقرير الملفات التنفيذية لنظامنا. للحصول على هذا التقرير ، سيتعين علينا تنفيذ الأمر باستخدام ملف الخيار العاشر في محطتنا:
aureport -x
لتحديد ملف الأحداث الفاشلة لمعالجتها في التقارير، سيتعين علينا إضافة فشل الخيار. الافتراضي هو كل من الأحداث الناجحة والفاشلة. سيتعين علينا كتابة الأمر كما هو موضح أدناه:
aureport --failed
إذا كان ما نريد رؤيته هو تقرير تسجيل الدخول، سيتعين علينا تنفيذ الأمر باستخدام الامتداد الخيار ل كما هو موضح في الصورة التالية:
aureport -l
انظر تقرير التشفير من الممكن أيضًا إذا استخدمنا الأمر مع خيار cr، كما ترى بالاسفل:
aureport -cr
يمكننا أيضًا التحقق من تقرير تعديل الحساب. سيتعين علينا فقط إضافة الخيار م. يجب تنفيذ الأمر على النحو التالي:
aureport -m
لرؤية تقرير PID، سيتعين علينا فقط إضافة الخيار ص إلى الأمر كما هو موضح أدناه:
aureport -p
بالإضافة إلى ذلك ، يمكننا أن نرى ملف تقرير استدعاء النظام (Syscall) باستخدام والخيارات. يمكننا تنفيذ الأمر بالطريقة التالية:
aureport -s
لعرض تقرير عمليات ناجحة، سيتعين علينا فقط تنفيذ الأمر بإضافة الامتداد خيار النجاح لهذا الأمر:
aureport --success
للإنهاء ، سنكون قادرين انظر الخيارات المتاحة لهذا الأمر. ما عليك سوى إضافة ملف خيار المساعدة لأمر أوريبورت. سيتعين علينا كتابتها في المحطة كما هو موضح أدناه:
aureport --help
إلغاء
لإزالة هذه الأداة من نظامنا ، ما عليك سوى فتح Terminal (Ctrl + Alt + T) والكتابة فيها:
sudo apt remove auditd && sudo apt autoremove
مع هذا لدينا بالفعل فكرة عامة عن التغطية واستخدام أمر aureport ، على الرغم من أن هذه مجرد عينة. من يحتاجها يمكنه الحصول عليها مساعدة من الصفحة التي يمكن أن نجدها في manpages. هناك سنجد نفس المعلومات التي سيظهرها لنا نظامنا عند تنفيذ رجل يساعد في أمر aureport.