Aureport generiert Zusammenfassungen der Systemprotokolle

Damián A.

4 Minuten

über aureport

Im nächsten Artikel werfen wir einen Blick auf aureport. Dies ist ein Werkzeug, das Erstellt zusammenfassende Berichte über Systemprotokolle zur Überwachung. Dieses Dienstprogramm kann auch verwendet werden Standard solange die Eingabe die Rohprotokollinformationen sind. Die Berichte haben oben eine Spaltenbezeichnung, um die Interpretation der verschiedenen Felder zu erleichtern. Mit Ausnahme des Hauptzusammenfassungsberichts haben alle Berichte eine Prüfereignisnummer.

Die von aureport erstellten Berichte können als Bausteine ​​für kompliziertere Analysen verwendet werden. Osten Es ist kein komplexer Befehl, es ist sehr einfach zu bedienen. Am Ende dieses Beitrags werden wir alle ein wenig mehr darüber wissen, wie dieser Befehl verwendet werden kann Generieren Sie Berichte aus unserem System.

Installation von aureport

Um dieses Tool auf unserem Ubuntu zu installieren, Wir müssen auditd installieren. Dies ist die User Space-Komponente für das Gnu / Linux-Überwachungssystem. Nach der Installation werden wir in der Lage sein Anzeigen von Protokollen mit Ausearch- oder Aureport-Dienstprogrammen. Mit dem auditd-Daemon kann der Administrator eines Gnu / Linux-Systems die vom Kernel generierten Sicherheitsüberwachungsinformationen empfangen, filtern und in Dateien speichern.

Um die Installation durchzuführen, um Ich werde dieses Beispiel unter Ubuntu 17.10 machenmüssen wir nur den folgenden Befehl in das Terminal schreiben (Strg + Alt + T):

sudo apt install auditd

Damit haben wir alles, was wir brauchen, installiert und können dieses Tool im Terminal verwenden. Wenn Sie das Root-Konto nicht verwenden, müssen Sie dies tun füge sudo hinzu zu jedem der Befehle.

Aureport verwenden

Führen Sie den von Ihnen bereitgestellten zusammenfassenden Bericht aus insgesamt die wichtigsten Berichtselemente. Beachten Sie, dass nicht alle Berichte eine Zusammenfassung enthalten, um verwendet werden zu können. Wenn wir den zusammenfassenden Bericht erhalten möchten, den aureport uns zur Verfügung stellen kann, müssen wir einfach den folgenden Befehl im Terminal ausführen (Strg + Alt + T). Der zusammenfassende Bericht wird als Ergebnis generiert:

aureport Befehl 

aureport

Im Falle des Wunsches Generieren Sie den Authentifizierungsberichtmüssen wir den Befehl mit dem ausführen Option au. Im Terminal müssen wir es wie folgt schreiben:

aureport -au Befehl 

aureport -au

Der Befehl kann uns auch das anzeigen Bericht über ausführbare Dateien unseres Systems. Um diesen Bericht zu erhalten, müssen wir den Befehl mit dem ausführen Option x in unserem Terminal:

aureport -x Befehl 

aureport -x

Zur Auswahl der Fehlgeschlagene Ereignisse, die in Berichten verarbeitet werden sollenmüssen wir das hinzufügen Option fehlgeschlagen. Die Standardeinstellung ist sowohl erfolgreiche als auch fehlgeschlagene Ereignisse. Wir müssen den Befehl wie folgt schreiben:

aureport -failed Befehl 

aureport --failed

Wenn wir sehen wollen, ist den Anmeldeberichtmüssen wir den Befehl mit dem ausführen Option l wie im folgenden Screenshot zu sehen:

aureport -l Befehl 

aureport -l

Ansicht Krypto-Bericht Es ist auch möglich, wenn wir den Befehl mit dem verwenden cr Option, wie Sie unten sehen können:

aureport -cr

Wir können auch unsere überprüfen Kontoänderungsbericht. Wir müssen nur die hinzufügen Option m. Der Befehl muss wie folgt ausgeführt werden:

aureport -m

Um das zu sehen PID-Berichtmüssen wir nur die hinzufügen Option p zu dem Befehl wie unten gezeigt:

aureport -p

Außerdem können wir das sehen Systemaufrufbericht (Syscall) mit dem Optionen. Wir können den Befehl folgendermaßen ausführen:

aureport -s

So zeigen Sie den Bericht des erfolgreiche Operationenmüssen wir nur den Befehl ausführen, der das hinzufügt Erfolgsoption zu diesem Befehl:

aureport -success Befehl 

aureport --success

Zum Schluss werden wir in der Lage sein Siehe die für diesen Befehl verfügbaren Optionen. Fügen Sie einfach das hinzu Hilfeoption zum Befehl aureport. Wir müssen es wie unten gezeigt in das Terminal schreiben:

aureport -help Befehl 

aureport --help

Deinstallieren

Um dieses Tool aus unserem System zu entfernen, müssen Sie nur ein Terminal öffnen (Strg + Alt + T) und darin schreiben:

sudo apt remove auditd && sudo apt autoremove

Damit haben wir bereits eine allgemeine Vorstellung von der Abdeckung und der Verwendung des Befehls aureport, obwohl dies nur ein Beispiel ist. Wer es braucht, kann bekommen Hilfe von der Seite das können wir in manpages finden. Dort finden wir die gleichen Informationen, die uns unser System bei der Ausführung des zeigt Mann Hilfe auf aureport Befehl.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.