V nasledujúcom článku sa pozrieme na aureport. Toto je nástroj, ktorý produkuje súhrnné správy systémových protokolov pre auditovanie. Tento nástroj môže tiež využiť stdin pokiaľ je vstupom nespracovaná informácia protokolu. Správy majú v hornej časti štítok, ktorý pomáha pri interpretácii rôznych polí. Okrem hlavnej súhrnnej správy majú všetky správy číslo udalosti auditu.
Správy vytvorené serverom aureport sa dajú použiť ako stavebné prvky pre komplikovanejšiu analýzu. Východ nie je to zložitý príkaz, jeho použitie je veľmi jednoduché. Na konci tohto príspevku si myslím, že všetci budeme vedieť niečo viac o spôsoboch, ktorými sa dá tento príkaz použiť generovať správy z nášho systému.
Inštalácia aureport
Ak chcete tento nástroj nainštalovať na náš Ubuntu, budeme si musieť nainštalovať auditd. Toto je súčasť užívateľského priestoru pre kontrolný systém Gnu / Linux. Po inštalácii budeme môcť zobraziť protokoly pomocou pomocných programov ausearch alebo aureport. Démon auditd umožňuje správcovi systému Gnu / Linux prijímať informácie bezpečnostného auditu vygenerované jadrom, filtrovať ich a ukladať do súborov.
Ak chcete vykonať inštaláciu, Urobím tento príklad na Ubuntu 17.10, budeme musieť do terminálu (Ctrl + Alt + T) zadať iba nasledujúci príkaz:
sudo apt install auditd
Vďaka tomu budeme mať všetko, čo potrebujeme, nainštalované a budeme môcť tento nástroj používať v termináli. Ak nepoužívate účet root, budete musieť pridať sudo ku každému z príkazov.
Pomocou aureport
Spustite súhrnný prehľad, ktorý nám poskytnete celkom hlavných položiek správy. Nezabudnite, že nie všetky prehľady obsahujú súhrn, ktorý je možné použiť. Ak chceme získať súhrnnú správu, ktorú nám aureport môže poskytnúť, budeme musieť v termináli jednoducho vykonať nasledujúci príkaz (Ctrl + Alt + T). Súhrnný prehľad sa vygeneruje ako výsledok:
aureport
V prípade chcenia vygenerovať správu o overení, budeme musieť vykonať príkaz pomocou možnosť au. V termináli to budeme musieť napísať nasledovne:
aureport -au
Príkaz nám môže tiež zobraziť správa spustiteľných súborov nášho systému. Na získanie tejto správy budeme musieť vykonať príkaz pomocou možnosť x v našom termináli:
aureport -x
Ak chcete vybrať ikonu udalosti, ktoré sa nepodarilo spracovať v prehľadoch, budeme musieť pridať možnosť zlyhala. Predvolená hodnota je úspešná aj neúspešná udalosť. Budeme musieť napísať príkaz, ako je uvedené nižšie:
aureport --failed
Ak to, čo chceme vidieť, je správa o prihlásení, budeme musieť vykonať príkaz pomocou možnosť l ako je vidieť na nasledujúcej snímke obrazovky:
aureport -l
Pozri krypto report Je to tiež možné, ak použijeme príkaz s cr možnosť, ako vidíte nižšie:
aureport -cr
Môžeme tiež overiť naše správa o zmene účtu. Budeme musieť pridať iba možnosť m. Príkaz musí byť vykonaný nasledovne:
aureport -m
Ak chcete vidieť Správa PID, budeme musieť pridať iba možnosť p na príkaz, ako je uvedené nižšie:
aureport -p
Okrem toho môžeme vidieť správa o systémovom hovore (Syscall) pomocou možnosti. Príkaz môžeme vykonať nasledujúcim spôsobom:
aureport -s
Ak chcete zobraziť správu úspešné operácie, budeme musieť vykonať iba príkaz pridajúci možnosť úspechu na tento príkaz:
aureport --success
Na záver budeme môcť pozrite si možnosti dostupné pre tento príkaz. Stačí pridať možnosť pomoci na príkaz aureport. Budeme to musieť napísať do terminálu, ako je uvedené nižšie:
aureport --help
uninstall
Ak chcete tento nástroj z nášho systému odstrániť, musíte otvoriť terminál (Ctrl + Alt + T) a napísať doň:
sudo apt remove auditd && sudo apt autoremove
Vďaka tomu už máme všeobecnú predstavu o pokrytí a použití príkazu aureport, aj keď je to iba ukážka. Kto to potrebuje, môže dostať pomoc zo stránky ktoré nájdeme na stránkach. Tam nájdeme rovnaké informácie, ktoré nám náš systém ukáže pri vykonávaní pomoc muža na príkaz aureport.