Nel prossimo articolo daremo uno sguardo ad aureport. Questo è uno strumento che produce rapporti di riepilogo dei registri di sistema per il controllo. Questa utility può anche fare uso di stdin purché l'input sia le informazioni di registro non elaborate. I report hanno un'etichetta di colonna in alto per aiutare con l'interpretazione dei vari campi. Ad eccezione del rapporto di riepilogo principale, tutti i rapporti hanno un numero di evento di controllo.
I report prodotti da aureport possono essere utilizzati come elementi costitutivi per analisi più complesse. est non è un comando complesso, è molto facile da usare. Alla fine di questo post penso che sapremo tutti un po 'di più sui modi in cui questo comando può essere utilizzato generare report dal nostro sistema.
Installazione di aureport
Per installare questo strumento sul nostro Ubuntu, avremo bisogno di installare auditd. Questo è il componente dello spazio utente per il sistema di controllo Gnu / Linux. Dopo l'installazione saremo in grado visualizzare i registri con le utilità ausearch o aureport. Il demone auditd consente all'amministratore di un sistema Gnu / Linux di ricevere le informazioni di controllo della sicurezza generate dal kernel, filtrarle e memorizzarle in file.
Per eseguire l'installazione, a Farò questo esempio su Ubuntu 17.10, dovremo solo scrivere il seguente comando nel terminale (Ctrl + Alt + T):
sudo apt install auditd
Con questo, avremo tutto ciò di cui abbiamo bisogno installato e possiamo utilizzare questo strumento nel terminale. Se non usi l'account di root, dovrai farlo aggiungi sudo a ciascuno dei comandi.
Utilizzando aureport
Esegui il rapporto di riepilogo che ci fornisci un totale delle principali voci del report. Tieni presente che non tutti i rapporti hanno un riepilogo per poter essere utilizzati. Se vogliamo ottenere il report di riepilogo che aureport può fornire, dovremo semplicemente eseguire il seguente comando nel terminale (Ctrl + Alt + T). Il rapporto di riepilogo viene generato come risultato:
aureport
In caso di mancanza generare il rapporto di autenticazione, dovremo eseguire il comando utilizzando il opzione au. Nel terminale dovremo scriverlo come segue:
aureport -au
Il comando può anche mostrarci il file report degli eseguibili del nostro sistema. Per ottenere questo report dovremo eseguire il comando con il opzione x nel nostro terminale:
aureport -x
Per selezionare il file eventi non riusciti da elaborare nei rapporti, dovremo aggiungere il file opzione fallita. L'impostazione predefinita è sia eventi riusciti che falliti. Dovremo scrivere il comando come mostrato di seguito:
aureport --failed
Se quello che vogliamo vedere è il rapporto di accesso, dovremo eseguire il comando utilizzando il opzione l come si vede nello screenshot seguente:
aureport -l
vista rapporto crittografico È anche possibile se usiamo il comando con l'estensione opzione cr, come puoi vedere di seguito:
aureport -cr
Possiamo anche verificare il nostro rapporto di modifica dell'account. Dovremo solo aggiungere il file opzione m. Il comando deve essere eseguito come segue:
aureport -m
Per guardare il Rapporto PID, dovremo solo aggiungere il file opzione p al comando come mostrato di seguito:
aureport -p
Inoltre, potremo vedere il file rapporto sulle chiamate di sistema (Syscall) usando il opzioni. Possiamo eseguire il comando usando il seguente modo:
aureport -s
Per visualizzare il report del operazioni di successo, dovremo solo eseguire il comando aggiungendo il file opzione di successo a questo comando:
aureport --success
Per finire, saremo in grado vedere le opzioni disponibili per questo comando. Aggiungi semplicemente il file opzione di aiuto al comando aureport. Dovremo scriverlo nel terminale come mostrato di seguito:
aureport --help
disinstallazione
Per rimuovere questo strumento dal nostro sistema, devi solo aprire un terminale (Ctrl + Alt + T) e scrivere in esso:
sudo apt remove auditd && sudo apt autoremove
Con questo abbiamo già un'idea generale della copertura e dell'uso del comando aureport, sebbene questo sia solo un esempio. Chi ne ha bisogno, può ottenerlo aiuto dalla pagina che possiamo trovare nelle manpage. Lì troveremo le stesse informazioni che il nostro sistema ci mostrerà durante l'esecuzione del file man help on aureport command.