Kitame straipsnyje apžvelgsime aureport. Tai yra įrankis, kuris rengia santraukas apie sistemos žurnalus auditui. Šis įrankis taip pat gali naudotis stdin tol, kol įvestis yra neapdorota žurnalo informacija. Ataskaitų viršuje yra stulpelių etiketė, padedanti aiškinti įvairius laukus. Visos ataskaitos, išskyrus pagrindinę suvestinę, turi audito įvykio numerį.
Aureporto ataskaitos gali būti naudojamos kaip sudėtingesnių analizių sudedamosios dalys. Rytai tai nėra sudėtinga komanda, ja labai lengva naudotis. Manau, kad šio įrašo pabaigoje mes visi sužinosime šiek tiek daugiau apie tai, kaip galima naudoti šią komandą generuoti ataskaitas iš mūsų sistemos.
Saulės uosto įrengimas
Norėdami įdiegti šį įrankį mūsų „Ubuntu“, turėsime įdiegti auditd. Tai yra „Gnu / Linux“ audito sistemos vartotojo erdvės komponentas. Po įdiegimo galėsime peržiūrėti žurnalus su ausearch arba aureport komunalinėmis paslaugomis. „Auditd“ deemonas leidžia „Gnu / Linux“ sistemos administratoriui gauti branduolio sugeneruotą saugumo audito informaciją, ją filtruoti ir saugoti failuose.
Norėdami atlikti montavimą, į Šį pavyzdį ketinu atlikti „Ubuntu 17.10“, terminale (Ctrl + Alt + T) turėsime įvesti tik šią komandą:
sudo apt install auditd
Tai atlikę turėsime viską, ko mums reikia, ir galėsime naudoti šį įrankį terminale. Jei nenaudosite šaknies paskyros, turėsite tai padaryti pridėti sudo kiekvienai komandai.
Naudojant aureport
Vykdykite mums pateiktą suvestinės ataskaitą visų pagrindinių ataskaitos punktų. Atminkite, kad ne visose ataskaitose yra santrauka, kurią galima naudoti. Jei norime gauti suvestinę ataskaitą, kurią mums gali pateikti „aureport“, mes tiesiog turėsime atlikti šią komandą terminale („Ctrl“ + „Alt“ + T). Santraukos ataskaita sukuriama kaip rezultatas:
aureport
Jei nori sugeneruoti autentifikavimo ataskaitą, komandą turėsime vykdyti naudodami variantas au. Terminale turėsime tai parašyti taip:
aureport -au
Komanda taip pat gali mums parodyti mūsų sistemos vykdomųjų failų ataskaita. Norėdami gauti šią ataskaitą, turėsime vykdyti komandą naudodami x variantas mūsų terminale:
aureport -x
Norėdami pasirinkti nepavyko įvykių apdoroti ataskaitose, turėsime pridėti parinktis nepavyko. Numatytasis yra tiek sėkmingi, tiek nepavykę įvykiai. Turėsime parašyti komandą taip, kaip parodyta žemiau:
aureport --failed
Jei tai, ką mes norime pamatyti, yra prisijungimo ataskaitą, komandą turėsime vykdyti naudodami l variantas kaip parodyta šioje ekrano kopijoje:
aureport -l
vaizdas šifravimo ataskaita Tai taip pat įmanoma, jei komandą naudojame su cr variantas, kaip matote žemiau:
aureport -cr
Mes taip pat galime patikrinti savo sąskaitos pakeitimo ataskaita. Turėsime tik pridėti variantas m. Komanda turi būti vykdoma taip:
aureport -m
Norėdami pamatyti PID ataskaita, turėsime tik pridėti parinktis p komandai, kaip parodyta žemiau:
aureport -p
Be to, galėsime pamatyti sistemos skambučio ataskaita („Syscall“) naudojant galimybės. Komandą galime vykdyti tokiu būdu:
aureport -s
Norėdami peržiūrėti sėkmingos operacijos, turėsime vykdyti tik komandą pridėdami sėkmės variantas prie šios komandos:
aureport --success
Pabaigti galėsime žr. galimas šios komandos parinktis. Tiesiog pridėkite pagalbos variantas į uosto komandą. Turėsime jį parašyti terminale, kaip parodyta žemiau:
aureport --help
Pašalinti
Norėdami pašalinti šį įrankį iš mūsų sistemos, tiesiog atidarykite terminalą („Ctrl“ + „Alt“ + T) ir parašykite jame:
sudo apt remove auditd && sudo apt autoremove
Tai jau turime bendrą idėją apie aureport komandos aprėptį ir naudojimą, nors tai tik pavyzdys. Kam to reikia, gali gauti pagalbos iš puslapio kuriuos galime rasti puslapiuose. Čia rasime tą pačią informaciją, kurią mūsų sistema mums parodys vykdant žmogaus pagalba vykdant uosto uosto komandą.