Dans le prochain article, nous allons jeter un œil à aureport. C'est un outil qui produit des rapports récapitulatifs des journaux système pour l'audit. Cet utilitaire peut également utiliser Stdin tant que l'entrée correspond aux informations brutes du journal. Les rapports ont une étiquette de colonne en haut pour aider à l'interprétation des différents champs. À l'exception du rapport de synthèse principal, tous les rapports ont un numéro d'événement d'audit.
Les rapports produits par aureport peuvent être utilisés comme éléments de base pour des analyses plus complexes. est ce n'est pas une commande complexe, c'est très simple à utiliser. À la fin de cet article, je pense que nous en saurons tous un peu plus sur les façons dont cette commande peut être utilisée pour générer des rapports à partir de notre système.
Installation d'aureport
Pour installer cet outil sur notre Ubuntu, nous devrons installer auditd. Il s'agit du composant d'espace utilisateur pour le système d'audit Gnu / Linux. Après l'installation, nous pourrons afficher les journaux avec les utilitaires ausearch ou aureport. Le démon auditd permet à l'administrateur d'un système Gnu / Linux de recevoir les informations d'audit de sécurité générées par le noyau, de les filtrer et de les stocker dans des fichiers.
Pour effectuer l'installation, pour Je vais faire cet exemple sur Ubuntu 17.10, nous n'aurons plus qu'à écrire la commande suivante dans le terminal (Ctrl + Alt + T):
sudo apt install auditd
Avec cela, nous aurons tout ce dont nous avons besoin installé et nous pouvons utiliser cet outil dans le terminal. Si vous n'utilisez pas le compte root, vous devrez ajouter sudo à chacune des commandes.
Utilisation d'Aureport
Exécutez le rapport de synthèse que vous nous fournissez un total des principaux éléments du rapport. Gardez à l'esprit que tous les rapports ne disposent pas d'un résumé pour pouvoir être utilisés. Si nous voulons obtenir le rapport de synthèse qu'aureport peut nous fournir, nous devrons simplement exécuter la commande suivante dans le terminal (Ctrl + Alt + T). Le rapport de synthèse est généré en conséquence:
aureport
En cas de vouloir générer le rapport d'authentification, nous devrons exécuter la commande en utilisant le option au. Dans le terminal, nous devrons l'écrire comme suit:
aureport -au
La commande peut également nous montrer le rapport des exécutables de notre système. Pour obtenir ce rapport nous devrons exécuter la commande avec le option x dans notre terminal:
aureport -x
Pour sélectionner le événements ayant échoué à traiter dans les rapports, nous devrons ajouter le option a échoué. La valeur par défaut est à la fois les événements réussis et échoués. Nous devrons écrire la commande comme indiqué ci-dessous:
aureport --failed
Si ce que nous voulons voir est le rapport de connexion, nous devrons exécuter la commande en utilisant le option l comme le montre la capture d'écran suivante:
aureport -l
vue rapport crypto C'est également possible si nous utilisons la commande avec le option cr, comme vous pouvez le voir ci-dessous:
aureport -cr
Nous pouvons également vérifier notre rapport de modification de compte. Nous n'aurons plus qu'à ajouter le option m. La commande doit être exécutée comme suit:
aureport -m
Voir le Rapport PID, nous n'aurons plus qu'à ajouter le option p à la commande comme indiqué ci-dessous:
aureport -p
De plus, nous pourrons voir le rapport d'appel système (Syscall) en utilisant le option s. Nous pouvons exécuter la commande de la manière suivante:
aureport -s
Pour afficher le rapport de la opérations réussies, nous n'aurons plus qu'à exécuter la commande en ajoutant le option de réussite à cette commande:
aureport --success
Pour finir, nous pourrons voir les options disponibles pour cette commande. Ajoutez simplement le option d'aide à la commande aureport. Nous devrons l'écrire dans le terminal comme indiqué ci-dessous:
aureport --help
Désinstaller
Pour supprimer cet outil de notre système, il vous suffit d'ouvrir un terminal (Ctrl + Alt + T) et d'y écrire:
sudo apt remove auditd && sudo apt autoremove
Avec cela, nous avons déjà une idée générale de la couverture et de l'utilisation de la commande aureport, bien que ce ne soit qu'un exemple. Qui en a besoin, peut obtenir aide de la page que nous pouvons trouver dans les pages de manuel. Là, nous trouverons les mêmes informations que notre système nous montrera lors de l'exécution du aide de l'homme sur la commande aureport.