Seuraavassa artikkelissa aiomme tarkastella aureporttia. Tämä on työkalu, joka tuottaa yhteenvetoraportteja järjestelmälokeista tarkastusta varten. Tämä apuohjelma voi myös käyttää stdin kunhan syöttö on raakaa lokitietoa. Raporttien yläosassa on saraketunniste, joka auttaa eri kenttien tulkinnassa. Pääyhteenvetoraporttia lukuun ottamatta kaikilla raporteilla on tarkastustapahtuman numero.
Aureportin tuottamia raportteja voidaan käyttää rakennuspalikoina monimutkaisemmissa analyyseissä. Itään se ei ole monimutkainen komento, sitä on erittäin helppo käyttää. Tämän viestin lopussa luulen, että me kaikki tiedämme hieman enemmän tavoista, joilla komentoa voidaan käyttää luoda raportteja järjestelmästämme.
Aureportin asennus
Asentaaksesi tämän työkalun Ubuntuun, meidän on asennettava auditd. Tämä on Gnu / Linux-auditointijärjestelmän käyttäjätilakomponentti. Asennuksen jälkeen voimme tarkastella lokeja ausearch- tai aureport-apuohjelmilla. Auditd-demoni antaa Gnu / Linux-järjestelmän järjestelmänvalvojalle mahdollisuuden vastaanottaa ytimen luomat turvatarkastustiedot, suodattaa ne ja tallentaa ne tiedostoihin.
Suorita asennus suorittamalla Aion tehdä tämän esimerkin Ubuntu 17.10: ssä, meidän on kirjoitettava vain seuraava komento päätelaitteeseen (Ctrl + Alt + T):
sudo apt install auditd
Tämän avulla meillä on kaikki tarvitsemamme asennettuna ja voimme käyttää tätä työkalua terminaalissa. Jos et käytä juuritiliä, sinun on lisää sudo jokaiselle komennolle.
Aureportin käyttäminen
Suorita meille antamasi yhteenvetoraportti yhteensä raportin pääkohteet. Muista, että kaikissa raporteissa ei ole yhteenvetoa käytettäväksi. Jos haluamme saada yhteenvetoraportin, jonka aureport voi antaa meille, meidän on yksinkertaisesti suoritettava seuraava komento terminaalissa (Ctrl + Alt + T). Yhteenvetoraportti luodaan seurauksena:
aureport
Jos haluat luo todennusraportti, meidän on suoritettava komento käyttämällä vaihtoehto au. Terminaaliin meidän on kirjoitettava se seuraavasti:
aureport -au
Komento voi myös näyttää meille raportti järjestelmämme suoritettavista tiedostoista. Tämän raportin saamiseksi meidän on suoritettava komento vaihtoehto x terminaalissamme:
aureport -x
Valitse epäonnistuneet tapahtumat käsiteltävissä raporteissa, meidän on lisättävä vaihtoehto epäonnistui. Oletusarvo on sekä onnistuneet että epäonnistuneet tapahtumat. Meidän on kirjoitettava komento alla olevan kuvan mukaisesti:
aureport --failed
Jos haluamme nähdä, on kirjautumisraportti, meidän on suoritettava komento käyttämällä vaihtoehto l kuten näkyy seuraavassa kuvakaappauksessa:
aureport -l
Katso salausraportti Se on myös mahdollista, jos käytämme komentoa cr vaihtoehto, kuten näet alla:
aureport -cr
Voimme myös varmistaa tilin muutosraportti. Meidän on vain lisättävä vaihtoehto m. Komento on suoritettava seuraavasti:
aureport -m
Voit nähdä PID-raportti, meidän on vain lisättävä vaihtoehto s komentoon alla olevan kuvan mukaisesti:
aureport -p
Lisäksi voimme nähdä järjestelmäkutsuraportti (Syscall) käyttämällä vaihtoehto s. Voimme suorittaa komennon seuraavalla tavalla:
aureport -s
Voit tarkastella .raporttia onnistunut toiminta, meidän on vain suoritettava komento lisäämällä menestysvaihtoehto tähän komentoon:
aureport --success
Lopuksi voimme katso tämän komennon käytettävissä olevat vaihtoehdot. Lisää vain ohje vaihtoehto aureport-komentoon. Meidän on kirjoitettava se terminaaliin alla olevan kuvan mukaisesti:
aureport --help
uninstall
Poista tämä työkalu järjestelmästä avaamalla pääte (Ctrl + Alt + T) ja kirjoittamalla siihen:
sudo apt remove auditd && sudo apt autoremove
Tämän avulla meillä on jo yleinen käsitys aureport-komennon kattavuudesta ja käytöstä, vaikka tämä on vain näyte. Kuka sitä tarvitsee, voi saada apua sivulta jonka voimme löytää sivulta. Sieltä löydämme samat tiedot, jotka järjestelmämme näyttää meille suoritettaessa mies auttaa aureport-komentoa.