W następnym artykule przyjrzymy się aureportowi. To jest narzędzie, które tworzy raporty podsumowujące dzienniki systemowe na potrzeby audytu. To narzędzie może również korzystać z stdin o ile dane wejściowe to nieprzetworzone informacje dziennika. Raporty mają u góry etykietę kolumny, która pomaga w interpretacji różnych pól. Z wyjątkiem głównego raportu podsumowującego, wszystkie raporty mają numer zdarzenia audytu.
Raporty generowane przez aureport mogą służyć jako elementy składowe do bardziej skomplikowanych analiz. Wschód nie jest to skomplikowane polecenie, jest bardzo łatwe w użyciu. Myślę, że na końcu tego posta wszyscy będziemy wiedzieć trochę więcej o sposobach, w jakie można wykorzystać to polecenie generować raporty z naszego systemu.
Instalacja aureportu
Aby zainstalować to narzędzie na naszym Ubuntu, będziemy musieli zainstalować auditd. To jest komponent przestrzeni użytkownika dla systemu kontroli Gnu / Linux. Po instalacji będziemy mogli przeglądaj dzienniki za pomocą narzędzi ausearch lub aureport. Demon auditd umożliwia administratorowi systemu Gnu / Linux otrzymywanie informacji audytu bezpieczeństwa generowanych przez jądro, filtrowanie ich i przechowywanie w plikach.
Aby przeprowadzić instalację, do Mam zamiar zrobić ten przykład na Ubuntu 17.10, będziemy musieli tylko wpisać w terminalu (Ctrl + Alt + T) następujące polecenie:
sudo apt install auditd
Dzięki temu będziemy mieli wszystko, czego potrzebujemy, zainstalowane i będziemy mogli korzystać z tego narzędzia w terminalu. Jeśli nie używasz konta roota, będziesz musiał dodaj sudo do każdego z poleceń.
Korzystanie z aureport
Uruchom raport podsumowujący, który nam przekazujesz suma głównych pozycji raportu. Pamiętaj, że nie wszystkie raporty zawierają podsumowanie, z którego można korzystać. Jeśli chcemy uzyskać raport podsumowujący, który może nam dostarczyć aureport, będziemy musieli po prostu wykonać następujące polecenie w terminalu (Ctrl + Alt + T). Raport podsumowujący jest generowany w wyniku:
aureport
Na wypadek chęci wygeneruj raport uwierzytelniania, będziemy musieli wykonać polecenie za pomocą opcja au. W terminalu będziemy musieli napisać to następująco:
aureport -au
Polecenie może również pokazać nam plik raport plików wykonywalnych naszego systemu. Aby uzyskać ten raport, będziemy musieli wykonać polecenie z rozszerzeniem opcja x w naszym terminalu:
aureport -x
Aby wybrać plik nieudane zdarzenia do przetworzenia w raportach, będziemy musieli dodać opcja nie powiodła się. Wartością domyślną są zarówno zdarzenia udane, jak i zakończone niepowodzeniem. Będziemy musieli napisać polecenie, jak pokazano poniżej:
aureport --failed
Jeśli to, co chcemy zobaczyć, to raport logowania, będziemy musieli wykonać polecenie za pomocą opcja l jak widać na poniższym zrzucie ekranu:
aureport -l
Zobacz raport kryptograficzny Jest to również możliwe, jeśli użyjemy polecenia z rozszerzeniem opcja cr, jak widać poniżej:
aureport -cr
Możemy również zweryfikować nasze raport o zmianach konta. Będziemy musieli tylko dodać opcja m. Polecenie należy wykonać w następujący sposób:
aureport -m
Aby zobaczyć Raport PID, będziemy musieli tylko dodać opcja str do polecenia, jak pokazano poniżej:
aureport -p
Ponadto możemy zobaczyć plik raport wywołania systemowego (Syscall) używając opcja s. Polecenie możemy wykonać w następujący sposób:
aureport -s
Aby wyświetlić raport udane operacje, będziemy musieli tylko wykonać polecenie dodając plik opcja sukcesu do tego polecenia:
aureport --success
Na koniec będziemy mogli zobacz opcje dostępne dla tego polecenia. Po prostu dodaj opcja pomocy do polecenia aureport. Będziemy musieli zapisać to w terminalu, jak pokazano poniżej:
aureport --help
Odinstaluj
Aby usunąć to narzędzie z naszego systemu, wystarczy otworzyć terminal (Ctrl + Alt + T) i wpisać w nim:
sudo apt remove auditd && sudo apt autoremove
Dzięki temu mamy już ogólne pojęcie o pokryciu i zastosowaniu polecenia aureport, chociaż jest to tylko przykład. Kto tego potrzebuje, może dostać pomoc ze strony które możemy znaleźć na stronach podręcznika. Znajdziemy tam te same informacje, które pokaże nam nasz system podczas wykonywania pliku pomoc człowieka na polecenie aureport.