Aureport, генерирует сводки системных журналов

об Aureport

В следующей статье мы рассмотрим aureport. Это инструмент, который создает сводные отчеты системных журналов для аудита. Эта утилита также может использовать STDIN пока на входе необработанная информация журнала. Отчеты имеют метку столбца вверху, чтобы помочь с интерпретацией различных полей. За исключением основного сводного отчета, все отчеты имеют номер события аудита.

Отчеты, создаваемые aureport, можно использовать в качестве строительных блоков для более сложных анализов. Восток это не сложная команда, она очень проста в использовании. В конце этого поста, я думаю, мы все узнаем немного больше о том, как эту команду можно использовать для генерировать отчеты из нашей системы.

Установка аурепорта

Чтобы установить этот инструмент на нашу Ubuntu, нам нужно будет установить auditd. Это компонент пользовательского пространства для системы аудита Gnu / Linux. После установки мы сможем просматривать журналы с помощью утилит ausearch или aureport. Демон auditd позволяет администратору системы Gnu / Linux получать информацию аудита безопасности, созданную ядром, фильтровать ее и сохранять в файлах.

Для проведения установки необходимо Я собираюсь сделать этот пример на Ubuntu 17.10., нам останется только написать в терминале следующую команду (Ctrl + Alt + T):

sudo apt install auditd

После этого у нас будет установлено все необходимое, и мы сможем использовать этот инструмент в терминале. Если вы не используете учетную запись root, вам придется добавить sudo к каждой из команд.

Использование aureport

Запустите сводный отчет, который вы нам предоставите всего основных пунктов отчета. Имейте в виду, что не во всех отчетах есть сводка, которую можно использовать. Если мы хотим получить сводный отчет, который может предоставить нам aureport, нам просто нужно будет выполнить следующую команду в терминале (Ctrl + Alt + T). Сводный отчет формируется в результате:

команда aureport

aureport

В случае желания генерировать отчет об аутентификации, нам нужно будет выполнить команду, используя вариант au. В терминале нам нужно будет написать это так:

команда aureport -au

aureport -au

Команда также может показать нам отчет исполняемых файлов нашей системы. Чтобы получить этот отчет, нам нужно будет выполнить команду с вариант x в нашем терминале:

команда aureport -x

aureport -x

Чтобы выбрать неудачные события для обработки в отчетах, нам нужно будет добавить вариант не удался. По умолчанию используются как успешные, так и неудачные события. Нам нужно будет написать команду, как показано ниже:

aureport -failed команда

aureport --failed

Если мы хотим увидеть отчет о входе в систему, нам нужно будет выполнить команду, используя вариант l как показано на следующем снимке экрана:

команда aureport -l

aureport -l

вид криптографический отчет Это также возможно, если мы используем команду с cr вариант, как вы можете видеть ниже:

aureport -cr

Мы также можем проверить наши отчет об изменении аккаунта. Нам останется только добавить вариант м. Команда должна выполняться следующим образом:

aureport -m

Чтобы увидеть Отчет PID, нам нужно будет только добавить вариант p к команде, как показано ниже:

aureport -p

Кроме того, мы можем видеть отчет о системных вызовах (Syscall) используя опции. Мы можем выполнить команду следующим образом:

aureport -s

Чтобы просмотреть отчет успешные операции, нам останется только выполнить команду, добавив вариант успеха к этой команде:

команда aureport -success

aureport --success

Чтобы закончить, мы сможем см. параметры, доступные для этой команды. Просто добавьте вариант помощи команде aureport. Нам нужно будет написать его в терминале, как показано ниже:

команда aureport -help

aureport --help

деинсталляция

Чтобы удалить этот инструмент из нашей системы, вам просто нужно открыть терминал (Ctrl + Alt + T) и написать в нем:

sudo apt remove auditd && sudo apt autoremove

Таким образом, у нас уже есть общее представление о покрытии и использовании команды aureport, хотя это только образец. Кому это нужно, может получить помощь со страницы что мы можем найти на страницах руководства. Там мы найдем ту же информацию, которую наша система покажет нам при выполнении справка man по команде aureport.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.