U sljedećem ćemo članku pogledati aureport. Ovo je alat koji izrađuje sažeta izvješća sistemskih dnevnika za reviziju. Ovaj uslužni program također može koristiti stdin sve dok su ulazni podaci sirovi podaci dnevnika. Izvješća imaju oznaku stupca na vrhu kako bi pomogla u tumačenju različitih polja. Osim glavnog sažetka izvješća, sva izvješća imaju broj događaja revizije.
Izvještaji koje je izradio aureport mogu se koristiti kao gradivni blok za složenije analize. Istočno nije složena naredba, vrlo je jednostavna za upotrebu. Na kraju ovog posta mislim da ćemo svi znati malo više o načinima na koje se ova naredba može koristiti generirati izvješća iz našeg sustava.
Instalacija aureporta
Da biste instalirali ovaj alat na naš Ubuntu, morat ćemo instalirati auditd. Ovo je komponenta korisničkog prostora za Gnu / Linux sustav revizije. Nakon instalacije moći ćemo pregledavanje dnevnika s uslužnim programima ausearch ili aureport. Daun demon auditora omogućuje administratoru Gnu / Linux sustava da prima informacije o sigurnosnoj reviziji generirane u kernelu, filtrira ih i pohranjuje u datoteke.
Da biste izvršili instalaciju, do Radit ću ovaj primjer na Ubuntuu 17.10, u terminal ćemo morati upisati samo sljedeću naredbu: Ctrl + Alt + T:
sudo apt install auditd
Ovim ćemo instalirati sve što nam treba i moći ćemo koristiti ovaj alat u terminalu. Ako ne koristite root račun, morat ćete dodaj sudo svakoj od naredbi.
Korištenje aureporta
Pokrenite sažeti izvještaj koji ste nam poslali ukupno glavnih stavki izvještaja. Imajte na umu da nemaju sva izvješća sažetak da bi se mogli koristiti. Ako želimo dobiti sažeti izvještaj koji nam može pružiti aureport, jednostavno ćemo morati izvršiti sljedeću naredbu u terminalu (Ctrl + Alt + T). Rezultat je sažeto izvješće:
aureport
U slučaju da želi generirati izvještaj o provjeri autentičnosti, morat ćemo izvršiti naredbu pomoću opcija au. U terminal ćemo to morati napisati na sljedeći način:
aureport -au
Naredba nam također može pokazati izvještaj o izvršnim datotekama našeg sustava. Da bismo dobili ovo izvješće, morat ćemo izvršiti naredbu s opcija x u našem terminalu:
aureport -x
Za odabir neuspjeli događaji za obradu u izvješćima, morat ćemo dodati opcija nije uspjela. Zadani su i uspješni i neuspjeli događaji. Morat ćemo napisati naredbu kao što je prikazano dolje:
aureport --failed
Ako je ono što želimo vidjeti izvješće o prijavi, morat ćemo izvršiti naredbu pomoću opcija l kao što se vidi na sljedećem snimku zaslona:
aureport -l
Vidi kripto izvješće Također je moguće ako naredbu koristimo s cr opcija, kao što možete vidjeti u nastavku:
aureport -cr
Također možemo provjeriti svoje izvješće o izmjeni računa. Morat ćemo dodati samo opcija m. Naredba se mora izvršiti kako slijedi:
aureport -m
Da biste vidjeli PID izvješće, morat ćemo dodati samo opcija str naredbi kao što je prikazano dolje:
aureport -p
Osim toga, možemo vidjeti i izvješće o sistemskom pozivu (Syscall) koristiti opcija s. Naredbu možemo izvršiti na sljedeći način:
aureport -s
Da biste pregledali izvješće uspješne operacije, morat ćemo izvršiti samo naredbu dodavanjem opcija uspjeha na ovu naredbu:
aureport --success
Da završimo, moći ćemo pogledajte opcije dostupne za ovu naredbu. Jednostavno dodajte opcija pomoći naredbi aureport. Morat ćemo to zapisati u terminal kako je prikazano dolje:
aureport --help
deinstalirati
Da biste uklonili ovaj alat iz našeg sustava, dovoljno je otvoriti terminal (Ctrl + Alt + T) i u njega napisati:
sudo apt remove auditd && sudo apt autoremove
Ovime već imamo opću ideju o pokrivenosti i upotrebi naredbe aureport, iako je ovo samo uzorak. Tko to treba, može dobiti pomoć sa stranice koje možemo pronaći na manpages-ima. Tamo ćemo pronaći iste informacije koje će nam pokazati naš sustav prilikom izvršavanja pomoć čovjeka na naredbu aureport.