Järgmises artiklis vaatleme aureporti. See on vahend, mis koostab auditeerimiseks süsteemilogide kokkuvõtlikud aruanded. See utiliit saab ka kasutada stdin kui sisendiks on toores logiteave. Aruannete ülaosas on veerumärgis, mis aitab erinevate väljade tõlgendamisel. Kõigil aruannetel on peale põhikokkuvõtte auditi sündmuse number.
Aurepordi koostatud aruandeid saab kasutada keerukama analüüsi jaoks. Idas see pole keeruline käsk, seda on väga lihtne kasutada. Ma arvan, et selle postituse lõpus teame kõik natuke rohkem sellest, kuidas seda käsku saab kasutada genereerida meie süsteemist aruandeid.
Aurusadama paigaldamine
Selle tööriista installimiseks meie Ubuntu, peame installima auditd. See on Gnu / Linuxi auditeerimissüsteemi kasutajaruumi komponent. Pärast paigaldamist saame logide vaatamine ausearchi või aureporti utiliitidega. Auditdemon võimaldab Gnu / Linuxi süsteemi administraatoril vastu võtta kerneli loodud turbeauditi teavet, filtreerida seda ja salvestada failidesse.
Installimise teostamiseks Ma teen selle näite Ubuntu 17.10-s, peame terminali sisestama (Ctrl + Alt + T) ainult järgmise käsu:
sudo apt install auditd
Selle abil on meil kõik vajalik installitud ja saame seda tööriista terminalis kasutada. Kui te ei kasuta juurkontot, peate seda tegema lisage sudo igale käsule.
Aurepordi kasutamine
Käivitage meile edastatud kokkuvõtlik aruanne aruande põhipunktid kokku. Pidage meeles, et kõigil aruannetel pole kokkuvõtet, et neid saaks kasutada. Kui soovime saada kokkuvõtlikku aruannet, mille aureport meile pakkuda saab, peame lihtsalt terminalis täitma järgmise käsu (Ctrl + Alt + T). Kokkuvõtlik aruanne luuakse tulemusena:
aureport
Tahmise korral genereerida autentimisaruanne, peame käsu täitma, kasutades variant au. Terminalis peame selle kirjutama järgmiselt:
aureport -au
Käsk võib meile näidata ka aruanne meie süsteemi käivitatavate failide kohta. Selle aruande saamiseks peame käsu käivitama variant x meie terminalis:
aureport -x
Valimiseks ebaõnnestunud sündmused, mida aruannetes töödelda, peame lisama valik nurjus. Vaikimisi on nii edukad kui ka ebaõnnestunud sündmused. Peame kirjutama käsu, nagu allpool näidatud:
aureport --failed
Kui see, mida me tahame näha, on sisselogimisaruanne, peame käsu täitma, kasutades variant l nagu näha järgmisel ekraanipildil:
aureport -l
vaade krüptoraport See on võimalik ka siis, kui kasutame käsku cr variant, nagu näete allpool:
aureport -cr
Saame ka oma kinnitada konto muutmise aruanne. Peame ainult lisama variant m. Käsk tuleb täita järgmiselt:
aureport -m
Et näha PID aruanne, peame ainult lisama valik lk käsule, nagu allpool näidatud:
aureport -p
Lisaks näeme süsteemikõne aruanne (Syscall) kasutades valik s. Saame käsu täita järgmisel viisil:
aureport -s
Aruande vaatamiseks edukad operatsioonid, peame täitma ainult käsu, lisades eduvõimalus selle käsu juurde:
aureport --success
Lõpetuseks saame hakkama vaadake selle käsu jaoks saadaolevaid suvandeid. Lisage lihtsalt abivalik aurepordi käsule. Peame selle terminali kirjutama, nagu allpool näidatud:
aureport --help
Desinstallige
Selle tööriista eemaldamiseks meie süsteemist peate lihtsalt avama terminali (Ctrl + Alt + T) ja sinna kirjutama:
sudo apt remove auditd && sudo apt autoremove
Sellega on meil juba üldine ettekujutus aurepordi käsu levialast ja kasutamisest, ehkki see on ainult näidis. Kellel seda vaja on, see saab lehelt abi mida leiame lehtedelt. Sealt leiame sama teabe, mida meie süsteem meile tarkvara täitmisel näitab mees abi aurepordi käsul.