U sljedećem članku ćemo pogledati aureport. Ovo je alat koji proizvodi sažetke izvještaja sistemskih dnevnika za reviziju. Ovaj uslužni program takođe može iskoristiti stdin sve dok su ulazne sirove informacije dnevnika. Izvještaji imaju naljepnicu stupaca na vrhu kako bi pomogli u tumačenju različitih polja. Osim glavnog sažetog izvještaja, svi izvještaji imaju broj događaja revizije.
Izvještaji koje je izradio aureport mogu se koristiti kao gradivni blok za složenije analize. Istok nije složena naredba, vrlo je jednostavna za upotrebu. Na kraju ovog posta mislim da ćemo svi znati malo više o načinima na koje se ova naredba može koristiti generirati izvještaje iz našeg sistema.
Instalacija aureporta
Da biste instalirali ovaj alat na naš Ubuntu, morat ćemo instalirati auditd. Ovo je komponenta korisničkog prostora za Gnu / Linux sistem revizije. Nakon instalacije moći ćemo pregledavanje dnevnika sa uslužnim programima ausearch ili aureport. Daun demon auditd omogućava administratoru Gnu / Linux sistema da prima informacije o sigurnosnoj reviziji generirane u kernelu, filtrira ih i sprema u datoteke.
Da biste izvršili instalaciju, do Radit ću ovaj primjer na Ubuntu 17.10, u terminal ćemo morati upisati samo sljedeću naredbu (Ctrl + Alt + T):
sudo apt install auditd
Ovim ćemo instalirati sve što nam treba i moći ćemo koristiti ovaj alat u terminalu. Ako ne koristite root račun, morat ćete dodaj sudo svakoj od naredbi.
Korišćenje aureporta
Pokrenite sažeti izvještaj koji ste nam poslali ukupno glavnih stavki izvještaja. Imajte na umu da nemaju svi izvještaji sažetak da bi se mogli koristiti. Ako želimo dobiti sažeti izvještaj koji nam može pružiti aureport, jednostavno ćemo morati izvršiti sljedeću naredbu u terminalu (Ctrl + Alt + T). Rezultat je generirani sažeti izvještaj:
aureport
U slučaju da želite generirati izvještaj o provjeri autentičnosti, morat ćemo izvršiti naredbu pomoću opcija au. U terminal ćemo to morati napisati na sljedeći način:
aureport -au
Komanda nam takođe može pokazati izveštaj o izvršnim datotekama našeg sistema. Da bismo dobili ovaj izvještaj, morat ćemo izvršiti naredbu s opcija x u našem terminalu:
aureport -x
Za odabir neuspjeli događaji za obradu u izvještajima, morat ćemo dodati opcija nije uspjela. Zadani su i uspješni i neuspjeli događaji. Morat ćemo napisati naredbu kao što je prikazano dolje:
aureport --failed
Ako je ono što želimo vidjeti izvještaj o prijavi, morat ćemo izvršiti naredbu pomoću opcija l kao što se vidi na sljedećem snimku zaslona:
aureport -l
Pogledajte kripto izvještaj Također je moguće ako koristimo naredbu s cr opcija, kao što možete vidjeti dolje:
aureport -cr
Također možemo provjeriti naše izvještaj o izmjeni računa. Morat ćemo dodati samo opcija m. Naredba se mora izvršiti kako slijedi:
aureport -m
Da vidim PID izvještaj, morat ćemo dodati samo opcija str na naredbu kao što je prikazano dolje:
aureport -p
Pored toga, moći ćemo vidjeti i izvještaj o sistemskom pozivu (Syscall) pomoću opcija s. Naredbu možemo izvršiti na sljedeći način:
aureport -s
Da biste pregledali izvještaj uspješne operacije, morat ćemo izvršiti samo naredbu dodavanjem opcija uspjeha na ovu naredbu:
aureport --success
Da završimo, moći ćemo pogledajte opcije dostupne za ovu naredbu. Jednostavno dodajte opcija pomoći naredbi aureport. Morat ćemo to zapisati u terminal kako je prikazano dolje:
aureport --help
Deinstaliraj
Da biste uklonili ovaj alat iz našeg sistema, dovoljno je otvoriti terminal (Ctrl + Alt + T) i u njega upisati:
sudo apt remove auditd && sudo apt autoremove
Ovim već imamo opću ideju o pokrivenosti i upotrebi naredbe aureport, iako je ovo samo uzorak. Kome treba, može dobiti pomoć sa stranice koje možemo naći na manpages-ima. Tamo ćemo pronaći iste informacije koje će nam pokazati naš sistem prilikom izvršavanja pomoć čovjeka na naredbu aureport.