I neste artikkel skal vi ta en titt på aureport. Dette er et verktøy som produserer sammendragsrapporter av systemlogger for revisjon. Dette verktøyet kan også bruke stdin så lenge inngangen er den rå logginformasjonen. Rapportene har en kolonneetikett øverst for å hjelpe til med tolkningen av de forskjellige feltene. Bortsett fra hovedoppsummeringsrapporten, har alle rapporter et revisjonshendelsesnummer.
Rapportene produsert av aureport kan brukes som byggesteiner for mer komplisert analyse. Øst det er ikke en kompleks kommando, den er veldig enkel å bruke. På slutten av dette innlegget tror jeg vi alle vil vite litt mer om hvordan denne kommandoen kan brukes til generere rapporter fra systemet vårt.
Installasjon av aureport
For å installere dette verktøyet på Ubuntu, vi må installere auditd. Dette er brukerplasskomponenten for Gnu / Linux-revisjonssystemet. Etter installasjon vil vi kunne se logger med ausearch eller aureport-verktøy. Auditd-demonen lar administratoren av et Gnu / Linux-system motta sikkerhetsrevisjonsinformasjonen generert av kjernen, filtrere den og lagre den i filer.
For å utføre installasjonen, til Jeg skal gjøre dette eksemplet på Ubuntu 17.10, vi trenger bare å skrive følgende kommando i terminalen (Ctrl + Alt + T):
sudo apt install auditd
Med dette vil vi ha alt vi trenger installert, og vi vil kunne bruke dette verktøyet i terminalen. Hvis du ikke bruker rotkontoen, må du legg til sudo til hver av kommandoene.
Bruke aureport
Kjør sammendragsrapporten du gir oss totalt hovedrapportelementene. Husk at ikke alle rapportene har et sammendrag for å kunne brukes. Hvis vi ønsker å få tak i sammendragsrapporten som aureport kan gi oss, må vi bare utføre følgende kommando i terminalen (Ctrl + Alt + T). Oppsummeringsrapporten genereres som et resultat:
aureport
I tilfelle du ønsker generere godkjenningsrapporten, må vi utføre kommandoen ved hjelp av opsjon au. I terminalen må vi skrive det som følger:
aureport -au
Kommandoen kan også vise oss rapport om kjørbare filer i systemet vårt. For å få denne rapporten, må vi utføre kommandoen med alternativ x i terminalen vår:
aureport -x
For å velge mislykkede hendelser å behandle i rapporter, må vi legge til alternativet mislyktes. Standard er både vellykkede og mislykkede hendelser. Vi må skrive kommandoen som vist nedenfor:
aureport --failed
Hvis det vi ønsker å se er påloggingsrapporten, må vi utføre kommandoen ved hjelp av alternativ l som vist i følgende skjermbilde:
aureport -l
Se kryptorapport Det er også mulig hvis vi bruker kommandoen med cr alternativ, som du kan se nedenfor:
aureport -cr
Vi kan også bekrefte vår kontoendringsrapport. Vi trenger bare å legge til alternativ m. Kommandoen må utføres som følger:
aureport -m
Å se PID-rapport, vi trenger bare å legge til alternativ s til kommandoen som vist nedenfor:
aureport -p
I tillegg kan vi se systemanropsrapport (Syscall) bruker alternativ s. Vi kan utføre kommandoen på følgende måte:
aureport -s
For å se rapporten fra vellykkede operasjoner, trenger vi bare å utføre kommandoen og legge til suksessalternativ til denne kommandoen:
aureport --success
For å fullføre, vil vi kunne se alternativene som er tilgjengelige for denne kommandoen. Bare legg til hjelpealternativ til aureport-kommandoen. Vi må skrive det i terminalen som vist nedenfor:
aureport --help
avinstallere
For å fjerne dette verktøyet fra systemet vårt, trenger du bare å åpne en terminal (Ctrl + Alt + T) og skrive i den:
sudo apt remove auditd && sudo apt autoremove
Med dette har vi allerede en generell ide om dekningen og bruken av aureport-kommandoen, selv om dette bare er et eksempel. Hvem trenger det, kan få hjelp fra siden som vi kan finne på manpages. Der finner vi den samme informasjonen som systemet vårt viser oss når vi kjører mann hjelp på aureport kommando.