Aureport, generează rezumate ale jurnalelor de sistem

Damián A.

Minute 4

despre aureport

În articolul următor vom analiza aureportul. Acesta este un instrument care produce rapoarte sumare ale jurnalelor de sistem pentru audit. Acest utilitar poate folosi și stdin atâta timp cât intrarea este informația brută a jurnalului. Rapoartele au o etichetă de coloană în partea de sus pentru a ajuta la interpretarea diferitelor câmpuri. Cu excepția raportului rezumat principal, toate rapoartele au un număr de eveniment de audit.

Rapoartele produse de aureport pot fi utilizate ca elemente de bază pentru analize mai complicate. Est nu este o comandă complexă, este foarte ușor de utilizat. La sfârșitul acestui post, cred că vom ști cu toții puțin mai multe despre modalitățile în care poate fi folosită această comandă genera rapoarte din sistemul nostru.

Instalarea aureportului

Pentru a instala acest instrument pe Ubuntu, va trebui să instalăm auditd. Aceasta este componenta spațiului utilizatorului pentru sistemul de audit Gnu / Linux. După instalare vom putea vizualizați jurnalele cu utilități ausearch sau aureport. Demonul auditd permite administratorului unui sistem Gnu / Linux să primească informațiile de audit de securitate generate de nucleu, să le filtreze și să le stocheze în fișiere.

Pentru a efectua instalarea, la Voi face acest exemplu pe Ubuntu 17.10, va trebui să scriem numai următoarea comandă în terminal (Ctrl + Alt + T):

sudo apt install auditd

Cu aceasta vom avea instalat tot ce avem nevoie și vom putea folosi acest instrument în terminal. Dacă nu utilizați contul root, va trebui să faceți acest lucru adăugați sudo la fiecare dintre comenzi.

Folosind aureport

Rulați raportul sumar pe care ni l-ați furnizat un total al principalelor elemente ale raportului. Rețineți că nu toate rapoartele au un rezumat pentru a putea fi utilizat. Dacă dorim să obținem raportul sumar pe care ni-l poate furniza aureport, va trebui pur și simplu să executăm următoarea comandă în terminal (Ctrl + Alt + T). Raportul sumar este generat ca urmare:

comanda aureport 

aureport

În caz de dorință generați raportul de autentificare, va trebui să executăm comanda folosind opțiune au. În terminal va trebui să-l scriem după cum urmează:

aureport -au comanda 

aureport -au

Comanda ne poate arăta și raportul executabilelor sistemului nostru. Pentru a obține acest raport va trebui să executăm comanda cu opțiunea x în terminalul nostru:

comanda aureport -x 

aureport -x

Pentru a selecta evenimente nereușite de procesat în rapoarte, va trebui să adăugăm opțiunea a eșuat. Valoarea implicită este atât evenimentele reușite, cât și evenimentele eșuate. Va trebui să scriem comanda așa cum se arată mai jos:

aureport - comanda eșuată 

aureport --failed

Dacă ceea ce vrem să vedem este raportul de conectare, va trebui să executăm comanda folosind opțiunea l așa cum se vede în următoarea captură de ecran:

aureport -l comanda 

aureport -l

Vezi raport cripto De asemenea, este posibil dacă folosim comanda cu opțiunea cr, după cum puteți vedea mai jos:

aureport -cr

Putem, de asemenea, să verificăm raport de modificare a contului. Va trebui doar să adăugăm opțiunea m. Comanda trebuie executată după cum urmează:

aureport -m

Pentru a vedea Raport PID, va trebui doar să adăugăm opțiunea p la comanda așa cum se arată mai jos:

aureport -p

În plus, vom putea vedea raport apel sistem (Syscall) folosind Opțiuni. Putem executa comanda folosind următorul mod:

aureport -s

Pentru a vizualiza raportul operațiuni de succes, va trebui doar să executăm comanda adăugând fișierul opțiunea de succes la această comandă:

aureport -comandă de succes 

aureport --success

Pentru a termina, vom putea vezi opțiunile disponibile pentru această comandă. Pur și simplu adăugați opțiune de ajutor la comanda aureport. Va trebui să-l scriem în terminal așa cum se arată mai jos:

aureport -help comanda 

aureport --help

dezinstalare

Pentru a elimina acest instrument din sistemul nostru, trebuie doar să deschideți un terminal (Ctrl + Alt + T) și să scrieți în el:

sudo apt remove auditd && sudo apt autoremove

Cu aceasta avem deja o idee generală despre acoperirea și utilizarea comenzii aureport, deși acesta este doar un eșantion. Cine are nevoie de el, poate obține ajutor de pe pagină pe care o putem găsi în paginile de manual. Acolo vom găsi aceleași informații pe care ni le va arăta sistemul nostru atunci când executăm om ajutat la comanda aureport.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.