Nākamajā rakstā mēs aplūkosim aureport. Tas ir rīks, kas izveido kopsavilkuma pārskatus par sistēmas žurnāliem revīzijai. Šī lietderība var arī izmantot stdin kamēr ievade ir neapstrādāta žurnāla informācija. Pārskatu augšdaļā ir sleju etiķete, kas palīdz interpretēt dažādus laukus. Visiem ziņojumiem, izņemot galveno kopsavilkuma ziņojumu, ir revīzijas notikuma numurs.
Aureport ziņojumus var izmantot kā sarežģītākas analīzes pamatelementus. Austrumi tā nav sarežģīta komanda, to ir ļoti viegli izmantot. Šīs ziņas beigās es domāju, ka mēs visi zinām nedaudz vairāk par veidiem, kā šo komandu var izmantot ģenerēt pārskatus no mūsu sistēmas.
Aureportas uzstādīšana
Lai instalētu šo rīku mūsu Ubuntu, mums būs jāinstalē auditd. Šis ir lietotāja telpas komponents Gnu / Linux audita sistēmai. Pēc instalēšanas mēs varēsim skatīt žurnālus ar ausearch vai aureport utilītprogrammām. Audita dēmons ļauj Gnu / Linux sistēmas administratoram saņemt kodola ģenerēto drošības audita informāciju, filtrēt to un saglabāt failos.
Lai veiktu uzstādīšanu, uz Es darīšu šo piemēru Ubuntu 17.10, mums terminālā (Ctrl + Alt + T) būs jāievada tikai šāda komanda:
sudo apt install auditd
Līdz ar to mums būs instalēts viss nepieciešamais, un mēs varam izmantot šo rīku terminālā. Ja neizmantojat saknes kontu, jums tas būs jādara pievienot sudo katrai no komandām.
Izmantojot aureport
Izpildiet mūsu iesniegto kopsavilkuma ziņojumu kopā galvenie pārskata posteņi. Paturiet prātā, ka ne visos pārskatos ir apkopojums, lai tos varētu izmantot. Ja mēs vēlamies iegūt kopsavilkuma ziņojumu, ko mums var nodrošināt aureport, mums vienkārši būs jāizpilda šāda komanda terminālā (Ctrl + Alt + T). Kopsavilkuma pārskats tiek ģenerēts kā rezultāts:
aureport
Gribas gadījumā ģenerēt autentifikācijas ziņojumu, mums būs jāizpilda komanda, izmantojot opcija au. Terminālā mums tas būs jāraksta šādi:
aureport -au
Komanda var arī parādīt mums ziņojums par mūsu sistēmas izpildāmajiem failiem. Lai iegūtu šo ziņojumu, mums būs jāizpilda komanda ar opcija x mūsu terminālā:
aureport -x
Lai atlasītu neizdevušies notikumi, kurus apstrādāt pārskatos, mums būs jāpievieno opcija neizdevās. Noklusējums ir gan veiksmīgi, gan neveiksmīgi notikumi. Mums būs jāraksta komanda, kā parādīts zemāk:
aureport --failed
Ja tas, ko mēs vēlamies redzēt, ir pieteikšanās atskaite, mums būs jāizpilda komanda, izmantojot l variants kā redzams šajā ekrānuzņēmumā:
aureport -l
skats kriptogrāfijas ziņojums Tas ir iespējams arī tad, ja mēs izmantojam komandu ar cr variants, kā redzat zemāk:
aureport -cr
Mēs varam arī pārbaudīt savu konta modifikācijas ziņojums. Mums būs tikai jāpievieno opcija m. Komanda jāizpilda šādi:
aureport -m
Lai redzētu PID ziņojums, mums būs tikai jāpievieno opcija lpp uz komandu, kā parādīts zemāk:
aureport -p
Turklāt mēs varam redzēt sistēmas zvana pārskats (Syscall) izmantojot opcija s. Mēs varam izpildīt komandu, izmantojot šādu veidu:
aureport -s
Lai apskatītu veiksmīgas operācijas, mums būs jāizpilda tikai komanda, pievienojot veiksmes variants šai komandai:
aureport --success
Lai pabeigtu, mēs varēsim skatiet šai komandai pieejamās opcijas. Vienkārši pievienojiet palīdzības iespēja uz aureport komandu. Mums tas būs jāraksta terminālā, kā parādīts zemāk:
aureport --help
Atinstalēt
Lai noņemtu šo rīku no mūsu sistēmas, jums vienkārši jāatver terminālis (Ctrl + Alt + T) un tajā jāieraksta:
sudo apt remove auditd && sudo apt autoremove
Līdz ar to mums jau ir vispārēja ideja par aureport komandas pārklājumu un izmantošanu, lai gan tas ir tikai paraugs. Kam tas vajadzīgs, var dabūt palīdzību no lapas ko varam atrast lapās. Tur mēs atradīsim to pašu informāciju, kuru mūsu sistēma parādīs, izpildot cilvēka palīdzība pēc aureport komandas.