Aureport, genereert samenvattingen van de systeemlogboeken

Damián A.

4 minuten

over aureport

In het volgende artikel gaan we kijken naar aureport. Dit is een hulpmiddel dat produceert samenvattende rapporten van systeemlogboeken voor controle​ Dit hulpprogramma kan ook gebruik maken van stdin zolang de invoer de onbewerkte logboekinformatie is. De rapporten hebben bovenaan een kolomlabel om te helpen bij de interpretatie van de verschillende velden. Behalve het hoofdoverzichtsrapport, hebben alle rapporten een auditgebeurtenisnummer.

De rapporten van aureport kunnen worden gebruikt als bouwstenen voor meer gecompliceerde analyses. Oosten het is geen ingewikkeld commando, het is heel gemakkelijk te gebruiken​ Aan het einde van dit bericht denk ik dat we allemaal iets meer zullen weten over de manieren waarop dit commando kan worden gebruikt rapporten genereren vanuit ons systeem.

Installatie van aureport

Om deze tool op onze Ubuntu te installeren, we zullen auditd moeten installeren​ Dit is de gebruikersruimte-component voor het Gnu / Linux-auditsysteem. Na installatie zullen we in staat zijn bekijk logboeken met ausearch- of aureport-hulpprogramma's​ De auditd daemon stelt de beheerder van een Gnu / Linux-systeem in staat om de door de kernel gegenereerde beveiligingsauditinformatie te ontvangen, deze te filteren en in bestanden op te slaan.

Om de installatie uit te voeren, moet u Ik ga dit voorbeeld doen op Ubuntu 17.10, we hoeven alleen het volgende commando in de terminal te schrijven (Ctrl + Alt + T):

sudo apt install auditd

Hiermee hebben we alles wat we nodig hebben geïnstalleerd en kunnen we deze tool in de terminal gebruiken. Als u het root-account niet gebruikt, moet u dit wel doen voeg sudo toe aan elk van de commando's.

Met behulp van aureport

Voer het samenvattende rapport uit dat u ons verstrekt een totaal van de belangrijkste rapportitems​ Houd er rekening mee dat niet alle rapporten een samenvatting hebben om te kunnen gebruiken. Als we het samenvattende rapport willen verkrijgen dat aureport ons kan geven, zullen we simpelweg het volgende commando in de terminal moeten uitvoeren (Ctrl + Alt + T). Het samenvattingsrapport wordt als resultaat gegenereerd:

aureport commando 

aureport

In geval van gebrek genereer het authenticatierapport, zullen we de opdracht moeten uitvoeren met behulp van de optie au​ In de terminal zullen we het als volgt moeten schrijven:

aureport -au commando 

aureport -au

De opdracht kan ons ook het rapport van uitvoerbare bestanden van ons systeem​ Om dit rapport te verkrijgen, moeten we het commando uitvoeren met de optie x in onze terminal:

aureport -x commando 

aureport -x

Om het mislukte gebeurtenissen om in rapporten te verwerken, zullen we de optie mislukt​ De standaardinstelling is zowel geslaagde als mislukte gebeurtenissen. We zullen de opdracht moeten schrijven zoals hieronder weergegeven:

aureport -failed commando 

aureport --failed

Als wat we willen zien is het inlograpport, zullen we de opdracht moeten uitvoeren met behulp van de optie l zoals te zien in de volgende schermafbeelding:

aureport -l commando 

aureport -l

Zie de crypto-rapport Het is ook mogelijk als we het commando gebruiken met de cr optie, zoals je hieronder kunt zien:

aureport -cr

We kunnen ook onze accountaanpassingsrapport​ We hoeven alleen de optie m​ De opdracht moet als volgt worden uitgevoerd:

aureport -m

Om de te zien PID-rapport, hoeven we alleen de optie p naar het commando zoals hieronder getoond:

aureport -p

Bovendien zullen we de systeemoproeprapport (Syscall) gebruik van de optie s. We kunnen het commando op de volgende manier uitvoeren:

aureport -s

Om het rapport van de succesvolle operaties, hoeven we alleen het commando uit te voeren door de succes optie op dit commando:

aureport -success commando 

aureport --success

Om te eindigen, zullen we in staat zijn zie de beschikbare opties voor dit commando​ Voeg gewoon het help optie naar het aureport commando. We zullen het in de terminal moeten schrijven zoals hieronder weergegeven:

aureport -help commando 

aureport --help

uninstall

Om deze tool van ons systeem te verwijderen, hoef je alleen maar een terminal te openen (Ctrl + Alt + T) en erin te schrijven:

sudo apt remove auditd && sudo apt autoremove

Hiermee hebben we al een algemeen idee van de dekking en het gebruik van het aureport-commando, hoewel dit slechts een voorbeeld is. Wie het nodig heeft, kan krijgen hulp van de pagina die we kunnen vinden in manpages​ Daar zullen we dezelfde informatie vinden die ons systeem ons zal laten zien bij het uitvoeren van het man helpen op aureport commando.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.