次の記事では、aureportについて見ていきます。 これは、 監査用のシステムログの要約レポートを作成します。 このユーティリティは、 stdin 入力が生のログ情報である限り。 レポートの上部には、さまざまなフィールドの解釈に役立つ列ラベルがあります。 メインの要約レポートを除いて、すべてのレポートには監査イベント番号があります。
aureportによって作成されたレポートは、より複雑な分析の構成要素として使用できます。 東 複雑なコマンドではなく、非常に使いやすいです。。 この投稿の終わりに、このコマンドを使用して システムからレポートを生成する.
aureportのインストール
このツールをUbuntuにインストールするには、 auditdをインストールする必要があります。 これは、Gnu / Linux監査システムのユーザースペースコンポーネントです。 インストール後、私たちはできるようになります ausearchまたはaureportユーティリティでログを表示する。 auditdデーモンを使用すると、Gnu / Linuxシステムの管理者は、カーネルによって生成されたセキュリティ監査情報を受信し、フィルタリングして、ファイルに保存できます。
インストールを実行するには、 この例をUbuntu17.10で実行します、ターミナル(Ctrl + Alt + T)に次のコマンドを入力するだけです。
sudo apt install auditd
これにより、必要なものがすべてインストールされ、ターミナルでこのツールを使用できるようになります。 rootアカウントを使用しない場合は、次のことを行う必要があります。 sudoを追加 各コマンドに。
aureportの使用
あなたが私たちに提供する要約レポートを実行します 主な報告項目の合計。 すべてのレポートに使用できる要約があるわけではないことに注意してください。 aureportが提供できる要約レポートを取得する場合は、ターミナルで次のコマンドを実行するだけです(Ctrl + Alt + T)。 結果として、要約レポートが生成されます。
aureport
欲しい場合 認証レポートを生成する、を使用してコマンドを実行する必要があります オプションau。 ターミナルでは、次のように記述する必要があります。
aureport -au
コマンドはまた私達に示すことができます 私たちのシステムの実行可能ファイルのレポート。 このレポートを取得するには、次のコマンドを実行する必要があります。 オプションx 私たちのターミナルで:
aureport -x
を選択するには レポートで処理できなかったイベント、追加する必要があります オプションが失敗しました。 デフォルトは、成功イベントと失敗イベントの両方です。 以下に示すようにコマンドを作成する必要があります。
aureport --failed
私たちが見たいのは ログインレポート、を使用してコマンドを実行する必要があります オプションl 次のスクリーンショットに見られるように:
aureport -l
ビュー 暗号レポート 次のコマンドを使用することも可能です。 crオプション、以下に示すように:
aureport -cr
確認することもできます アカウント変更レポート。 追加する必要があるのは オプションm。 コマンドは次のように実行する必要があります。
aureport -m
見るために PIDレポート、追加するだけで済みます オプションp 以下に示すようにコマンドに:
aureport -p
さらに、私たちは見ることができるようになります システムコールレポート(Syscall) を使用して オプションs。 次の方法でコマンドを実行できます。
aureport -s
のレポートを表示するには 成功した操作、コマンドを実行するだけで、 成功オプション このコマンドに:
aureport --success
最後に、私たちはできるようになります このコマンドで使用可能なオプションを参照してください。 単に追加します ヘルプオプション aureportコマンドに。 以下に示すように、ターミナルに書き込む必要があります。
aureport --help
アンインストール
このツールをシステムから削除するには、ターミナルを開いて(Ctrl + Alt + T)、次のように書き込む必要があります。
sudo apt remove auditd && sudo apt autoremove
これにより、これはサンプルにすぎませんが、aureportコマンドの適用範囲と使用法についての一般的な考え方はすでにわかっています。 誰がそれを必要とし、得ることができます ページからのヘルプ マンページで見つけることができます。 そこには、実行時にシステムが表示するのと同じ情報があります。 aureportコマンドの男ヘルプ.