Aureport, génère des résumés des journaux système

Damián A.

Minutes 4

à propos d'Aureport

Dans le prochain article, nous allons jeter un œil à aureport. C'est un outil qui produit des rapports récapitulatifs des journaux système pour l'audit. Cet utilitaire peut également utiliser Stdin tant que l'entrée correspond aux informations brutes du journal. Les rapports ont une étiquette de colonne en haut pour aider à l'interprétation des différents champs. À l'exception du rapport de synthèse principal, tous les rapports ont un numéro d'événement d'audit.

Les rapports produits par aureport peuvent être utilisés comme éléments de base pour des analyses plus complexes. est ce n'est pas une commande complexe, c'est très simple à utiliser. À la fin de cet article, je pense que nous en saurons tous un peu plus sur les façons dont cette commande peut être utilisée pour générer des rapports à partir de notre système.

Installation d'aureport

Pour installer cet outil sur notre Ubuntu, nous devrons installer auditd. Il s'agit du composant d'espace utilisateur pour le système d'audit Gnu / Linux. Après l'installation, nous pourrons afficher les journaux avec les utilitaires ausearch ou aureport. Le démon auditd permet à l'administrateur d'un système Gnu / Linux de recevoir les informations d'audit de sécurité générées par le noyau, de les filtrer et de les stocker dans des fichiers.

Pour effectuer l'installation, pour Je vais faire cet exemple sur Ubuntu 17.10, nous n'aurons plus qu'à écrire la commande suivante dans le terminal (Ctrl + Alt + T):

sudo apt install auditd

Avec cela, nous aurons tout ce dont nous avons besoin installé et nous pouvons utiliser cet outil dans le terminal. Si vous n'utilisez pas le compte root, vous devrez ajouter sudo à chacune des commandes.

Utilisation d'Aureport

Exécutez le rapport de synthèse que vous nous fournissez un total des principaux éléments du rapport. Gardez à l'esprit que tous les rapports ne disposent pas d'un résumé pour pouvoir être utilisés. Si nous voulons obtenir le rapport de synthèse qu'aureport peut nous fournir, nous devrons simplement exécuter la commande suivante dans le terminal (Ctrl + Alt + T). Le rapport de synthèse est généré en conséquence:

commande aureport 

aureport

En cas de vouloir générer le rapport d'authentification, nous devrons exécuter la commande en utilisant le option au. Dans le terminal, nous devrons l'écrire comme suit:

commande aureport -au 

aureport -au

La commande peut également nous montrer le rapport des exécutables de notre système. Pour obtenir ce rapport nous devrons exécuter la commande avec le option x dans notre terminal:

commande aureport -x 

aureport -x

Pour sélectionner le événements ayant échoué à traiter dans les rapports, nous devrons ajouter le option a échoué. La valeur par défaut est à la fois les événements réussis et échoués. Nous devrons écrire la commande comme indiqué ci-dessous:

commande aureport -failed 

aureport --failed

Si ce que nous voulons voir est le rapport de connexion, nous devrons exécuter la commande en utilisant le option l comme le montre la capture d'écran suivante:

commande aureport -l 

aureport -l

vue rapport crypto C'est également possible si nous utilisons la commande avec le option cr, comme vous pouvez le voir ci-dessous:

aureport -cr

Nous pouvons également vérifier notre rapport de modification de compte. Nous n'aurons plus qu'à ajouter le option m. La commande doit être exécutée comme suit:

aureport -m

Voir le Rapport PID, nous n'aurons plus qu'à ajouter le option p à la commande comme indiqué ci-dessous:

aureport -p

De plus, nous pourrons voir le rapport d'appel système (Syscall) en utilisant le option s. Nous pouvons exécuter la commande de la manière suivante:

aureport -s

Pour afficher le rapport de la opérations réussies, nous n'aurons plus qu'à exécuter la commande en ajoutant le option de réussite à cette commande:

commande aureport -success 

aureport --success

Pour finir, nous pourrons voir les options disponibles pour cette commande. Ajoutez simplement le option d'aide à la commande aureport. Nous devrons l'écrire dans le terminal comme indiqué ci-dessous:

commande aureport -help 

aureport --help

Désinstaller

Pour supprimer cet outil de notre système, il vous suffit d'ouvrir un terminal (Ctrl + Alt + T) et d'y écrire:

sudo apt remove auditd && sudo apt autoremove

Avec cela, nous avons déjà une idée générale de la couverture et de l'utilisation de la commande aureport, bien que ce ne soit qu'un exemple. Qui en a besoin, peut obtenir aide de la page que nous pouvons trouver dans les pages de manuel. Là, nous trouverons les mêmes informations que notre système nous montrera lors de l'exécution du aide de l'homme sur la commande aureport.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.