Aureport, genera resúmenes de los registros del sistema

En el siguiente artículo vamos a echar un vistazo a aureport. Esta es una herramienta que produce informes resumidos de los registros del sistema para su auditoría. Esta utilidad también puede hacer uso de stdin siempre que la entrada sea la información de registro sin procesar. Los informes tienen una etiqueta de columna en la parte superior para ayudar con la interpretación de los diversos campos. Excepto por el informe resumido principal, todos los informes tienen un número de evento de auditoría.

Los informes producidos por aureport se pueden usar como bloques de construcción para análisis más complicados. Este no es un comando complejo, es muy fácil de usar. Al final de este post creo que todos conoceremos un poco más las formas en las que se puede utilizar este comando para generar informes de nuestro sistema.

Instalación de aureport

Para instalar esta herramienta en nuestro Ubuntu, necesitaremos instalar auditd. Este es el componente de espacio de usuario para el sistema de auditoría de Gnu/Linux. Tras la instalación vamos a poder ver los registros con las utilidades ausearch o aureport. El demonio auditd permite al administrador de un sistema Gnu/Linux recibir la información de auditoría de seguridad que el núcleo genera, filtrarla y almacenarla en archivos.

Para llevar a cabo la instalación, para este ejemplo lo voy a realizar sobre Ubuntu 17.10, solo tendremos que escribir en la terminal (Ctrl+Alt+T) el siguiente comando:

sudo apt install auditd

Con esto ya tendremos instalado todo lo necesario y podremos hacer uso de esta herramienta en la terminal. Si no utilizas la cuenta de root, tendrás que añadir sudo a cada uno de los comandos.

Usando aureport

Ejecuta el informe del resumen que nos proporciona un total de los elementos del informe principal. Hay que tener en cuenta que no todos los informes tienen un resumen para poder ser utilizado. Si queremos obtener el informe resumido que nos puede proporcionar aureport, simplemente tendremos que ejecutar el siguiente comando en la terminal (Ctrl+Alt+T). El informe resumen se genera como resultado:

aureport

En caso de querer generar el informe de autenticación, tendremos que ejecutar el comando utilizando la opción au. En la terminal tendremos que escribirlo de la siguiente manera:

aureport -au

El comando también nos puede mostrar el informe de ejecutables de nuestro sistema. Para obtener este informe tendremos que ejecutar el comando con la opción x en nuestra terminal:

aureport -x

Para seleccionar los eventos fallidos para procesarlos en los informes, tendremos que añadir la opción failed. El valor predeterminado es tanto eventos exitosos como fallidos. Tendremos que escribir el comando como se muestra a continuación:

aureport --failed

Si lo que queremos ver es el informe de inicio de sesión, tendremos que ejecutar el comando utilizando la opción l como se ve en la siguiente captura:

aureport -l

Ver el informe criptográfico también es posible si utilizamos el comando con la opción cr, como se puede ver a continuación:

aureport -cr

También podremos verificar nuestro informe de modificación de cuenta. Solo tendremos que añadir la opción m. El comando ha de ejecutarse de la siguiente manera:

aureport -m

Para ver el informe PID, solo tendremos que añadir la opción p al comando como se muestra a continuación:

aureport -p

Además, podremos ver el informe de llamadas al sistema (Syscall) utilizando la opción s. Podremos ejecutar el comando utilizando de la siguiente manera:

aureport -s

Para ver el informe de las operaciones realizadas con éxito, solo tendremos que ejecutar el comando añadiéndole la opción success a este comando:

aureport --success

Para terminar, vamos a poder ver las opciones disponibles para este comando. Simplemente habrá que añadir la opción de ayuda al comando aureport. Tendremos que escribirlo en la terminal como se muestra a continuación:

aureport --help

Desinstalar

Para eliminar esta herramienta de nuestro sistema, solo hay que abrir una terminal (Ctrl+Alt+T) y escribir en ella:

sudo apt remove auditd && sudo apt autoremove

Con esto ya tenemos una idea general de la cobertura y del uso del comando aureport, aun que esto es solo una muestra. Quién lo necesite, puede obtener ayuda desde la página que podemos encontrar en manpages. Ahí encontraremos la misma información que nuestro sistema nos mostrará al ejecutar la ayuda de man sobre el comando aureport.


Categorías

Ubuntu

Damian Amoedo

Aficionado a la programación. Apasionado del software libre. Dispuesto a aprender de todo para después contarlo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.