V naslednjem članku si bomo ogledali aureport. To je orodje, ki izdeluje zbirna poročila sistemskih dnevnikov za revizijo. Ta pripomoček lahko izkoristi tudi stdin dokler so vhodni podatki surovi dnevnik. Poročila imajo na vrhu oznako stolpca, ki pomaga pri razlagi različnih polj. Vsa poročila imajo številko revizijskega dogodka, razen glavnega zbirnega poročila.
Poročila, ki jih pripravi aureport, se lahko uporabljajo kot gradniki za bolj zapletene analize. Vzhod ni zapleten ukaz, zelo enostaven za uporabo. Na koncu tega prispevka mislim, da bomo vsi vedeli malo več o načinih, na katere je ta ukaz mogoče uporabiti ustvarjajte poročila iz našega sistema.
Namestitev aureporta
Če želite namestiti to orodje na naš Ubuntu, morali bomo namestiti auditd. To je komponenta uporabniškega prostora za revizijski sistem Gnu / Linux. Po namestitvi bomo lahko ogled dnevnikov s pripomočki ausearch ali aureport. Zaslon auditd omogoča skrbniku sistema Gnu / Linux, da prejme informacije o varnostnem pregledu, ki jih ustvari jedro, jih filtrira in shrani v datoteke.
Za izvedbo namestitve, do Ta primer bom naredil v Ubuntu 17.10, v terminal bomo morali napisati le naslednji ukaz (Ctrl + Alt + T):
sudo apt install auditd
S tem bomo namestili vse, kar potrebujemo, in to orodje lahko uporabimo v terminalu. Če ne uporabljate korenskega računa, boste morali dodaj sudo vsakemu od ukazov.
Uporaba aureporta
Zaženite zbirno poročilo, ki nam ga posredujete skupaj glavnih postavk poročila. Upoštevajte, da vsa poročila nimajo povzetka, ki bi ga lahko uporabili. Če želimo dobiti povzetek poročila, ki nam ga lahko zagotovi aureport, bomo morali preprosto izvršiti naslednji ukaz v terminalu (Ctrl + Alt + T). Rezultat je povzetek poročila:
aureport
V primeru želje ustvari poročilo o preverjanju pristnosti, ukaz bomo morali izvesti z uporabo možnost au. V terminal ga bomo morali zapisati tako:
aureport -au
Ukaz nam lahko tudi pokaže poročilo o izvršljivih datotekah našega sistema. Za pridobitev tega poročila bomo morali izvršiti ukaz z možnost x v našem terminalu:
aureport -x
Če želite izbrati neuspelih dogodkov za obdelavo v poročilih, morali bomo dodati možnost ni uspela. Privzeti so uspešni in neuspeli dogodki. Ukaz bomo morali napisati, kot je prikazano spodaj:
aureport --failed
Če je tisto, kar želimo videti poročilo o prijavi, ukaz bomo morali izvesti z uporabo možnost l kot je razvidno iz naslednjega posnetka zaslona:
aureport -l
Glej kripto poročilo Možno je tudi, če uporabimo ukaz z cr možnost, kot lahko vidite spodaj:
aureport -cr
Lahko tudi preverimo našo poročilo o spremembi računa. Dodali bomo le še možnost m. Ukaz je treba izvesti na naslednji način:
aureport -m
Za ogled Poročilo PID, morali bomo samo dodati možnost str na ukaz, kot je prikazano spodaj:
aureport -p
Poleg tega si bomo lahko ogledali poročilo o sistemskem klicu (Syscall) uporabljati opcije. Ukaz lahko izvedemo na naslednji način:
aureport -s
Za ogled poročila uspešno poslovanje, morali bomo samo izvesti ukaz, s katerim dodamo možnost uspeha na ta ukaz:
aureport --success
Za konec bomo lahko oglejte si možnosti, ki so na voljo za ta ukaz. Preprosto dodajte možnost pomoči na ukaz aureport. Zapisati ga bomo morali v terminal, kot je prikazano spodaj:
aureport --help
Odstrani
Če želite to orodje odstraniti iz našega sistema, morate odpreti terminal (Ctrl + Alt + T) in vanj zapisati:
sudo apt remove auditd && sudo apt autoremove
S tem že imamo splošno predstavo o pokritosti in uporabi ukaza aureport, čeprav je to le vzorec. Kdo ga potrebuje, lahko dobi pomoč s strani ki jih lahko najdemo na straneh. Tam bomo našli enake informacije, ki jih bo naš sistem pokazal pri izvajanju pomoč človeka na ukaz aureport.