I den næste artikel skal vi se på aureport. Dette er et værktøj, der producerer sammenfattende rapporter om systemlogfiler til revision. Dette værktøj kan også gøre brug af stdin så længe input er de rå logoplysninger. Rapporterne har en kolonnemærke øverst for at hjælpe med fortolkningen af de forskellige felter. Bortset fra hovedoversigtsrapporten har alle rapporter et revisionshændelsesnummer.
Rapporterne produceret af aureport kan bruges som byggesten til mere komplicerede analyser. Øst det er ikke en kompleks kommando, det er meget let at bruge. I slutningen af dette indlæg tror jeg, at vi alle vil vide lidt mere om, hvordan denne kommando kan bruges til generere rapporter fra vores system.
Installation af aureport
For at installere dette værktøj på vores Ubuntu, vi bliver nødt til at installere auditd. Dette er brugerrumskomponenten til Gnu / Linux-auditsystemet. Efter installationen kan vi se logfiler med hjælp fra ausearch eller aureport. Auditd-dæmonen giver administratoren af et Gnu / Linux-system mulighed for at modtage de sikkerhedsrevisionsoplysninger, der genereres af kernen, filtrere dem og gemme dem i filer.
For at udføre installationen skal du Jeg vil gøre dette eksempel på Ubuntu 17.10, vi bliver kun nødt til at skrive følgende kommando i terminalen (Ctrl + Alt + T):
sudo apt install auditd
Med dette vil vi have alt, hvad vi har brug for, installeret, og vi vil være i stand til at bruge dette værktøj i terminalen. Hvis du ikke bruger rodkontoen, skal du tilføj sudo til hver af kommandoerne.
Brug af aureport
Kør den sammenfattende rapport, du giver os i alt hovedrapporten. Husk, at ikke alle rapporter har et resumé, der kan bruges. Hvis vi ønsker at få den sammenfattende rapport, som aureport kan give os, bliver vi simpelthen nødt til at udføre følgende kommando i terminalen (Ctrl + Alt + T). Resumérapporten genereres som et resultat:
aureport
I tilfælde af lyst generere godkendelsesrapporten, bliver vi nødt til at udføre kommandoen ved hjælp af option au. I terminalen bliver vi nødt til at skrive det som følger:
aureport -au
Kommandoen kan også vise os rapport om eksekverbare filer i vores system. For at opnå denne rapport bliver vi nødt til at udføre kommandoen med mulighed x i vores terminal:
aureport -x
For at vælge mislykkede begivenheder at behandle i rapporter, bliver vi nødt til at tilføje indstillingen mislykkedes. Standard er både vellykkede og mislykkede begivenheder. Vi bliver nødt til at skrive kommandoen som vist nedenfor:
aureport --failed
Hvis det, vi vil se, er login-rapporten, bliver vi nødt til at udføre kommandoen ved hjælp af mulighed l som det ses i følgende skærmbillede:
aureport -l
Se kryptorapport Det er også muligt, hvis vi bruger kommandoen med cr mulighed, som du kan se nedenfor:
aureport -cr
Vi kan også bekræfte vores kontoændringsrapport. Vi bliver kun nødt til at tilføje mulighed m. Kommandoen skal udføres som følger:
aureport -m
At se PID-rapport, vi bliver kun nødt til at tilføje valgmulighed s til kommandoen som vist nedenfor:
aureport -p
Derudover kan vi se rapport om systemopkald (Syscall) bruger muligheder. Vi kan udføre kommandoen på følgende måde:
aureport -s
For at se rapporten fra vellykkede operationer, vi bliver kun nødt til at udføre kommandoen ved at tilføje mulighed for succes til denne kommando:
aureport --success
For at afslutte, vil vi være i stand til se de tilgængelige indstillinger for denne kommando. Du skal blot tilføje hjælpemulighed til aureport-kommandoen. Vi bliver nødt til at skrive det i terminalen som vist nedenfor:
aureport --help
afinstallere
For at fjerne dette værktøj fra vores system skal du bare åbne en terminal (Ctrl + Alt + T) og skrive i den:
sudo apt remove auditd && sudo apt autoremove
Med dette har vi allerede en generel idé om dækningen og brugen af aureport-kommandoen, selvom dette kun er en prøve. Hvem har brug for det, kan få hjælp fra siden som vi kan finde på manpages. Der finder vi de samme oplysninger, som vores system viser os, når vi udfører mand hjælp på aureport kommando.