A következő cikkben megnézzük az aureportot. Ez egy olyan eszköz, amely összefoglaló jelentéseket készít a rendszernaplókról az ellenőrzéshez. Ez a segédprogram is felhasználhatja stdin mindaddig, amíg a bemenet a nyers naplóinformáció. A jelentések tetején oszlopcímke található, amely segíti a különböző mezők értelmezését. A fő összefoglaló jelentés kivételével minden jelentés rendelkezik audit eseményszámmal.
Az aureport által készített jelentések építőelemként használhatók a bonyolultabb elemzésekhez. Keleti ez nem összetett parancs, nagyon könnyen használható. A bejegyzés végén azt hiszem, hogy valamennyien többet tudunk majd arról, hogyan lehet ezt a parancsot használni jelentéseket generál a rendszerünkből.
Az aureport telepítése
Az eszköz telepítéséhez az Ubuntu-ra telepítenünk kell az auditd fájlt. Ez a Gnu / Linux naplózási rendszer felhasználói terület komponense. Telepítés után képesek leszünk naplók megtekintése az ausearch vagy az aureport segédprogramokkal. Az auditd démon lehetővé teszi egy Gnu / Linux rendszer rendszergazdájának, hogy megkapja a kernel által generált biztonsági audit információkat, kiszűrje és fájlokban tárolja azokat.
A telepítés végrehajtásához Ezt a példát fogom megtenni az Ubuntu 17.10-en, csak a következő parancsot kell majd írnunk a terminálba (Ctrl + Alt + T):
sudo apt install auditd
Ezzel mindent telepítünk, amire szükségünk van, és képesek leszünk használni ezt az eszközt a terminálban. Ha nem használja a root fiókot, akkor meg kell add sudo az egyes parancsokhoz.
Az aureport használatával
Futtassa az általunk megadott összefoglaló jelentést a jelentés fő tételei összesen. Ne feledje, hogy nem minden jelentésben található összefoglaló, hogy felhasználható legyen. Ha meg akarjuk szerezni azt az összefoglaló jelentést, amelyet az aureport tud nyújtani nekünk, akkor egyszerűen végre kell hajtanunk a következő parancsot a terminálban (Ctrl + Alt + T). Az összefoglaló jelentés ennek eredményeként jön létre:
aureport
Szükség esetén generálja a hitelesítési jelentést, a parancsot a opció au. A terminálba a következőket kell írnunk:
aureport -au
A parancs megmutathatja nekünk a jelentés a rendszerünk futtatható fájljairól. A jelentés megszerzéséhez a parancsot kell végrehajtanunk x lehetőség terminálunkon:
aureport -x
A kiválasztásához sikertelen események feldolgozása a jelentésekben, hozzá kell adnunk a opció nem sikerült. Az alapértelmezett a sikeres és a sikertelen események egyaránt. A parancsot az alábbiak szerint kell megírnunk:
aureport --failed
Ha az, amit látni akarunk, az az a bejelentkezési jelentést, a parancsot a opció l a következő képernyőképen látható:
aureport -l
Lásd a kriptográfia Az is lehetséges, ha a parancsot a cr opció, amint az alább látható:
aureport -cr
Azt is ellenőrizhetjük számla módosítási jelentés. Csak hozzá kell adnunk a m opció. A parancsot az alábbiak szerint kell végrehajtani:
aureport -m
Látni a PID jelentés, csak hozzá kell adnunk a opció o parancsra az alábbiak szerint:
aureport -p
Ezen felül megnézhetjük a rendszerhívás jelentés (Syscall) használni a lehetőségek. A parancsot a következő módon hajthatjuk végre:
aureport -s
A jelentés megtekintéséhez sikeres műveletek, csak a parancs hozzáadásával kell végrehajtanunk siker opció erre a parancsra:
aureport --success
Befejezésül képesek leszünk lásd a parancs elérhető opcióit. Egyszerűen adja hozzá a súgó opció az aureport parancsra. Az alábbiak szerint be kell írnunk a terminálba:
aureport --help
eltávolítást
Az eszköz eltávolításához a rendszerünkből csak meg kell nyitnia egy terminált (Ctrl + Alt + T), és be kell írnia:
sudo apt remove auditd && sudo apt autoremove
Ezzel már van egy általános elképzelésünk az aureport parancs lefedettségéről és használatáról, bár ez csak egy minta. Akinek szüksége van rá, kaphat segítség az oldalról amit megtalálhatunk a manpage-okon. Ott ugyanazokat az információkat találjuk meg, amelyeket rendszerünk megmutat nekünk a ember segítsége az aureport parancsnokságán.