Aureport、システムログの要約を生成します

Damián A.

4分

aureportについて

次の記事では、aureportについて見ていきます。 これは、 監査用のシステムログの要約レポートを作成します。 このユーティリティは、 stdin 入力が生のログ情報である限り。 レポートの上部には、さまざまなフィールドの解釈に役立つ列ラベルがあります。 メインの要約レポートを除いて、すべてのレポートには監査イベント番号があります。

aureportによって作成されたレポートは、より複雑な分析の構成要素として使用できます。 東 複雑なコマンドではなく、非常に使いやすいです。。 この投稿の終わりに、このコマンドを使用して システムからレポートを生成する.

aureportのインストール

このツールをUbuntuにインストールするには、 auditdをインストールする必要があります。 これは、Gnu / Linux監査システムのユーザースペースコンポーネントです。 インストール後、私たちはできるようになります ausearchまたはaureportユーティリティでログを表示する。 auditdデーモンを使用すると、Gnu / Linuxシステムの管理者は、カーネルによって生成されたセキュリティ監査情報を受信し、フィルタリングして、ファイルに保存できます。

インストールを実行するには、 この例をUbuntu17.10で実行します、ターミナル(Ctrl + Alt + T)に次のコマンドを入力するだけです。

sudo apt install auditd

これにより、必要なものがすべてインストールされ、ターミナルでこのツールを使用できるようになります。 rootアカウントを使用しない場合は、次のことを行う必要があります。 sudoを追加 各コマンドに。

aureportの使用

あなたが私たちに提供する要約レポートを実行します 主な報告項目の合計。 すべてのレポートに使用できる要約があるわけではないことに注意してください。 aureportが提供できる要約レポートを取得する場合は、ターミナルで次のコマンドを実行するだけです(Ctrl + Alt + T)。 結果として、要約レポートが生成されます。

aureportコマンド 

aureport

欲しい場合 認証レポートを生成する、を使用してコマンドを実行する必要があります オプションau。 ターミナルでは、次のように記述する必要があります。

aureport-auコマンド 

aureport -au

コマンドはまた私達に示すことができます 私たちのシステムの実行可能ファイルのレポート。 このレポートを取得するには、次のコマンドを実行する必要があります。 オプションx 私たちのターミナルで:

aureport-xコマンド 

aureport -x

を選択するには レポートで処理できなかったイベント、追加する必要があります オプションが失敗しました。 デフォルトは、成功イベントと失敗イベントの両方です。 以下に示すようにコマンドを作成する必要があります。

aureport-failedコマンド 

aureport --failed

私たちが見たいのは ログインレポート、を使用してコマンドを実行する必要があります オプションl 次のスクリーンショットに見られるように:

aureport-lコマンド 

aureport -l

ビュー 暗号レポート 次のコマンドを使用することも可能です。 crオプション、以下に示すように:

aureport -cr

確認することもできます アカウント変更レポート。 追加する必要があるのは オプションm。 コマンドは次のように実行する必要があります。

aureport -m

見るために PIDレポート、追加するだけで済みます オプションp 以下に示すようにコマンドに:

aureport -p

さらに、私たちは見ることができるようになります システムコールレポート(Syscall) を使用して オプションs。 次の方法でコマンドを実行できます。

aureport -s

のレポートを表示するには 成功した操作、コマンドを実行するだけで、 成功オプション このコマンドに:

aureport-successコマンド 

aureport --success

最後に、私たちはできるようになります このコマンドで使用可能なオプションを参照してください。 単に追加します ヘルプオプション aureportコマンドに。 以下に示すように、ターミナルに書き込む必要があります。

aureport-helpコマンド 

aureport --help

アンインストール

このツールをシステムから削除するには、ターミナルを開いて(Ctrl + Alt + T)、次のように書き込む必要があります。

sudo apt remove auditd && sudo apt autoremove

これにより、これはサンプルにすぎませんが、aureportコマンドの適用範囲と使用法についての一般的な考え方はすでにわかっています。 誰がそれを必要とし、得ることができます ページからのヘルプ マンページで見つけることができます。 そこには、実行時にシステムが表示するのと同じ情報があります。 aureportコマンドの男ヘルプ.


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。