Aureport, genera resums dels registres de sistema

Damián A.

4 minuts

about aureport

En el següent article anem a fer una ullada a aureport. Aquesta és una eina que produeix informes resumits dels registres de sistema per a la seva auditoria. Aquesta utilitat també pot fer ús de stdin sempre que l'entrada sigui la informació de registre sense processar. Els informes tenen una etiqueta de columna a la part superior per ajudar amb la interpretació dels diversos camps. Excepte per l'informe resumit principal, tots els informes tenen un nombre d'esdeveniment d'auditoria.

Els informes produïts per aureport es poden usar com blocs de construcció per a anàlisis més complicats. aquest no és una ordre complex, és molt fàcil d'utilitzar. A la fi d'aquest post crec que tots coneixerem una mica més les formes en les que es pot utilitzar aquesta comanda per generar informes del nostre sistema.

Instal·lació de aureport

Per instal·lar aquesta eina al nostre Ubuntu, necessitarem instal·lar auditd. Aquest és el component d'espai d'usuari per al sistema d'auditoria de GNU / Linux. Després de la instal·lació podrem veure els registres amb les utilitats ausearch o aureport. El dimoni auditd permet a l'administrador d'un sistema GNU / Linux rebre la informació d'auditoria de seguretat que el nucli genera, filtrar-la i emmagatzemar-la en arxius.

Per dur a terme la instal·lació, per aquest exemple ho vaig a fer sobre Ubuntu 17.10, Només haurem d'escriure a la terminal (Ctrl + Alt + T) la següent comanda:

sudo apt install auditd

Amb això ja tindrem instal·lat tot el necessari i podrem fer ús d'aquesta eina a la terminal. Si no utilitzes el compte de root, hauràs de afegir suo a cada un dels ordres.

usant aureport

Executa l'informe de l'resum que ens proporciona un total dels elements de l'informe principal. Cal tenir en compte que no tots els informes tenen un resum per poder ser utilitzat. Si volem obtenir l'informe resumit que ens pot proporcionar aureport, simplement haurem d'executar la següent comanda a la terminal (Ctrl + Alt + T). L'informe resum es genera com a resultat:

comandament aureport 

aureport

En cas de voler generar l'informe d'autenticació, Haurem d'executar la comanda utilitzant la opció au. A la terminal haurem de escriure-ho de la següent manera:

comandament aureport -au 

aureport -au

La comanda també ens pot mostrar el informe d'executables del nostre sistema. Per obtenir aquest informe haurem d'executar la comanda amb la opció x a la nostra terminal:

comandament aureport -x 

aureport -x

Per seleccionar els esdeveniments fallits per processar en els informes, Haurem d'afegir la opció failed. Per omissió és tant esdeveniments reeixits com fallits. Haurem d'escriure la comanda com es mostra a continuació:

comandament aureport -failed 

aureport --failed

Si el que volem veure és l'informe d'inici de sessió, Haurem d'executar la comanda utilitzant la opció l com es veu en la següent captura:

comandament aureport -l 

aureport -l

veure el informe criptogràfic també és possible si fem servir la comanda amb la opció cr, Com es pot veure a continuació:

aureport -cr

També podrem verificar el nostre informe de modificació de compte. Només haurem d'afegir la opció m. La comanda ha d'executar-se de la següent manera:

aureport -m

Per veure el informe PID, Només haurem d'afegir la opció p a la comanda com es mostra a continuació:

aureport -p

A més, podrem veure el informe de trucades a sistema (syscall) utilitzant la opció s. Podrem executar la comanda utilitzant de la següent manera:

aureport -s

Per veure l'informe de les operacions realitzades amb èxit, Només haurem d'executar la comanda afegint-hi la opció success a aquesta comanda:

comandament aureport -success 

aureport --success

Per acabar, anem a poder veure les opcions disponibles per a aquesta comanda. Simplement caldrà afegir la opció d'ajuda a la comanda aureport. Haurem d'escriure a la terminal com es mostra a continuació:

comandament aureport -help 

aureport --help

Desinstal

Per eliminar aquesta eina del nostre sistema, només cal obrir un terminal (Ctrl + Alt + T) i escriure-hi:

sudo apt remove auditd && sudo apt autoremove

Amb això ja tenim una idea general de la cobertura i de l'ús de la comanda aureport, tot i que això és només una mostra. Qui ho necessiti, pot obtenir ajuda des de la pàgina que podem trobar en manpages. Allà hi trobem la mateixa informació que el nostre sistema ens mostrarà a l'executar la ajuda de man sobre la comanda aureport.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.