In het volgende artikel gaan we kijken naar aureport. Dit is een hulpmiddel dat produceert samenvattende rapporten van systeemlogboeken voor controle Dit hulpprogramma kan ook gebruik maken van stdin zolang de invoer de onbewerkte logboekinformatie is. De rapporten hebben bovenaan een kolomlabel om te helpen bij de interpretatie van de verschillende velden. Behalve het hoofdoverzichtsrapport, hebben alle rapporten een auditgebeurtenisnummer.
De rapporten van aureport kunnen worden gebruikt als bouwstenen voor meer gecompliceerde analyses. Oosten het is geen ingewikkeld commando, het is heel gemakkelijk te gebruiken Aan het einde van dit bericht denk ik dat we allemaal iets meer zullen weten over de manieren waarop dit commando kan worden gebruikt rapporten genereren vanuit ons systeem.
Installatie van aureport
Om deze tool op onze Ubuntu te installeren, we zullen auditd moeten installeren Dit is de gebruikersruimte-component voor het Gnu / Linux-auditsysteem. Na installatie zullen we in staat zijn bekijk logboeken met ausearch- of aureport-hulpprogramma's De auditd daemon stelt de beheerder van een Gnu / Linux-systeem in staat om de door de kernel gegenereerde beveiligingsauditinformatie te ontvangen, deze te filteren en in bestanden op te slaan.
Om de installatie uit te voeren, moet u Ik ga dit voorbeeld doen op Ubuntu 17.10, we hoeven alleen het volgende commando in de terminal te schrijven (Ctrl + Alt + T):
sudo apt install auditd
Hiermee hebben we alles wat we nodig hebben geïnstalleerd en kunnen we deze tool in de terminal gebruiken. Als u het root-account niet gebruikt, moet u dit wel doen voeg sudo toe aan elk van de commando's.
Met behulp van aureport
Voer het samenvattende rapport uit dat u ons verstrekt een totaal van de belangrijkste rapportitems Houd er rekening mee dat niet alle rapporten een samenvatting hebben om te kunnen gebruiken. Als we het samenvattende rapport willen verkrijgen dat aureport ons kan geven, zullen we simpelweg het volgende commando in de terminal moeten uitvoeren (Ctrl + Alt + T). Het samenvattingsrapport wordt als resultaat gegenereerd:
aureport
In geval van gebrek genereer het authenticatierapport, zullen we de opdracht moeten uitvoeren met behulp van de optie au In de terminal zullen we het als volgt moeten schrijven:
aureport -au
De opdracht kan ons ook het rapport van uitvoerbare bestanden van ons systeem Om dit rapport te verkrijgen, moeten we het commando uitvoeren met de optie x in onze terminal:
aureport -x
Om het mislukte gebeurtenissen om in rapporten te verwerken, zullen we de optie mislukt De standaardinstelling is zowel geslaagde als mislukte gebeurtenissen. We zullen de opdracht moeten schrijven zoals hieronder weergegeven:
aureport --failed
Als wat we willen zien is het inlograpport, zullen we de opdracht moeten uitvoeren met behulp van de optie l zoals te zien in de volgende schermafbeelding:
aureport -l
Zie de crypto-rapport Het is ook mogelijk als we het commando gebruiken met de cr optie, zoals je hieronder kunt zien:
aureport -cr
We kunnen ook onze accountaanpassingsrapport We hoeven alleen de optie m De opdracht moet als volgt worden uitgevoerd:
aureport -m
Om de te zien PID-rapport, hoeven we alleen de optie p naar het commando zoals hieronder getoond:
aureport -p
Bovendien zullen we de systeemoproeprapport (Syscall) gebruik van de optie s. We kunnen het commando op de volgende manier uitvoeren:
aureport -s
Om het rapport van de succesvolle operaties, hoeven we alleen het commando uit te voeren door de succes optie op dit commando:
aureport --success
Om te eindigen, zullen we in staat zijn zie de beschikbare opties voor dit commando Voeg gewoon het help optie naar het aureport commando. We zullen het in de terminal moeten schrijven zoals hieronder weergegeven:
aureport --help
uninstall
Om deze tool van ons systeem te verwijderen, hoef je alleen maar een terminal te openen (Ctrl + Alt + T) en erin te schrijven:
sudo apt remove auditd && sudo apt autoremove
Hiermee hebben we al een algemeen idee van de dekking en het gebruik van het aureport-commando, hoewel dit slechts een voorbeeld is. Wie het nodig heeft, kan krijgen hulp van de pagina die we kunnen vinden in manpages Daar zullen we dezelfde informatie vinden die ons systeem ons zal laten zien bij het uitvoeren van het man helpen op aureport commando.