В следващата статия ще разгледаме aureport. Това е инструмент, който изготвя обобщени отчети на системните дневници за одит. Тази програма също може да се възползва от стандартния вход стига входът да е суровата информация в дневника. Отчетите имат етикет на колона в горната част, за да помогнат при тълкуването на различните полета. С изключение на основния обобщен доклад, всички доклади имат номер на одитно събитие.
Докладите, изготвени от aureport, могат да се използват като градивни елементи за по-сложен анализ. изток това не е сложна команда, много е лесна за използване. В края на тази публикация мисля, че всички ще знаем малко повече за начините, по които може да се използва тази команда генерирайте отчети от нашата система.
Инсталиране на aureport
За да инсталирате този инструмент на нашия Ubuntu, ще трябва да инсталираме auditd. Това е компонентът на потребителското пространство за системата за одит на Gnu / Linux. След инсталацията ще можем преглед на регистрационни файлове с ausearch или aureport помощни програми. Демонът auditd позволява на администратора на система Gnu / Linux да получава информацията за одит на защитата, генерирана от ядрото, да я филтрира и съхранява във файлове.
За да извършите инсталацията, до Ще направя този пример на Ubuntu 17.10, ще трябва само да напишем в терминала (Ctrl + Alt + T) следната команда:
sudo apt install auditd
С това ще имаме инсталирано всичко необходимо и можем да използваме този инструмент в терминала. Ако не използвате главния акаунт, ще трябва добавете sudo към всяка от командите.
Използване на aureport
Стартирайте обобщения отчет, който ни предоставяте общо основните елементи на отчета. Имайте предвид, че не всички отчети имат обобщение, за да могат да се използват. Ако искаме да получим обобщения отчет, който aureport може да ни предостави, просто ще трябва да изпълним следната команда в терминала (Ctrl + Alt + T). Обобщеният отчет се генерира като резултат:
aureport
В случай на желание генерирайте отчета за удостоверяване, ще трябва да изпълним командата с помощта на опция au. В терминала ще трябва да го напишем, както следва:
aureport -au
Командата може да ни покаже и доклад за изпълними файлове на нашата система. За да получим този отчет, ще трябва да изпълним командата с опция x в нашия терминал:
aureport -x
За да изберете неуспешни събития за обработка в отчети, ще трябва да добавим опцията не бе успешна. По подразбиране са както успешни, така и неуспешни събития. Ще трябва да напишем командата, както е показано по-долу:
aureport --failed
Ако това, което искаме да видим, е отчета за вход, ще трябва да изпълним командата с помощта на опция l както се вижда на следната екранна снимка:
aureport -l
Вижте крипто отчет Възможно е и ако използваме командата с cr опция, както можете да видите по-долу:
aureport -cr
Ние също можем да проверим нашите отчет за модификация на акаунта. Ще трябва само да добавим опция m. Командата трябва да се изпълни, както следва:
aureport -m
За да видите PID доклад, ще трябва само да добавим опция стр към командата, както е показано по-долу:
aureport -p
Освен това можем да видим отчет за системно обаждане (Syscall) използвайки настроики. Можем да изпълним командата по следния начин:
aureport -s
За да видите доклада на успешни операции, ще трябва само да изпълним командата, добавяйки вариант за успех към тази команда:
aureport --success
За да завършим, ще можем вижте опциите, налични за тази команда. Просто добавете опция за помощ към командата aureport. Ще трябва да го запишем в терминала, както е показано по-долу:
aureport --help
деинсталиране
За да премахнете този инструмент от нашата система, просто трябва да отворите терминал (Ctrl + Alt + T) и да напишете в него:
sudo apt remove auditd && sudo apt autoremove
С това вече имаме обща представа за покритието и използването на командата aureport, въпреки че това е само пример. Който се нуждае, може да получи помощ от страницата които можем да намерим в manpages. Там ще намерим същата информация, която нашата система ще ни покаже при изпълнение на помощ на човек по команда aureport.