Aureport, gjeneron përmbledhje të regjistrave të sistemit

Damián A.

Minuta 4

rreth aureport

Në artikullin tjetër do të hedhim një vështrim në aureport. Ky është një mjet që prodhon raporte përmbledhëse të regjistrave të sistemit për auditim. Kjo pajisje mund të përdorë gjithashtu stdin për sa kohë që hyrja është informacioni i regjistrit të papërpunuar. Raportet kanë një etiketë kolone në krye për të ndihmuar në interpretimin e fushave të ndryshme. Me përjashtim të raportit kryesor përmbledhës, të gjitha raportet kanë një numër të ngjarjes së auditimit.

Raportet e prodhuara nga aureport mund të përdoren si blloqe ndërtimi për analiza më të komplikuara. Lindja nuk është një komandë komplekse, është shumë e lehtë për tu përdorur. Në fund të këtij postimi mendoj se të gjithë do të dimë pak më shumë për mënyrat se si mund të përdoret kjo komandë gjenerojnë raporte nga sistemi ynë.

Instalimi i aureport

Për të instaluar këtë mjet në Ubuntu tonë, ne do të duhet të instalojmë të audituar. Ky është përbërësi i hapësirës së përdoruesit për sistemin e auditimit Gnu / Linux. Pas instalimit ne do të jemi në gjendje shikoni shkrimet me shërbimet ausearch ose aureport. Daemoni i audituar lejon administratorin e një sistemi Gnu / Linux të marrë informacionin e kontrollit të sigurisë të krijuar nga kerneli, ta filtrojë atë dhe t'i ruajë në skedarë.

Për të kryer instalimin, te Do ta bëj këtë shembull në Ubuntu 17.10, do të duhet të shkruajmë vetëm komandën e mëposhtme në terminal (Ctrl + Alt + T):

sudo apt install auditd

Me këtë do të kemi të instaluar gjithçka që na duhet dhe do të jemi në gjendje ta përdorim këtë mjet në terminal. Nëse nuk përdorni llogarinë rrënjë, do të duhet të bëni shtoni sudo secilës prej komandave.

Përdorimi i aureport

Drejtoni raportin përmbledhës që na ofroni një total i artikujve kryesorë të raportit. Mbani në mend se jo të gjitha raportet kanë një përmbledhje që të mund të përdoren. Nëse duam të marrim raportin përmbledhës që mund të na ofrojë aureport, thjesht do të duhet të ekzekutojmë komandën e mëposhtme në terminal (Ctrl + Alt + T). Raporti përmbledhës gjenerohet si rezultat:

komanda e aureport 

aureport

Në rast dëshire gjeneroni raportin e vërtetimit, ne do të duhet të ekzekutojmë komandën duke përdorur opsioni au. Në terminal do të duhet ta shkruajmë si më poshtë:

komanda aureport -au 

aureport -au

Komanda mund të na tregojë gjithashtu raporti i ekzekutuesve të sistemit tonë. Për të marrë këtë raport do të duhet të ekzekutojmë komandën me opsioni x në terminalin tonë:

komanda aureport -x 

aureport -x

Për të zgjedhur ngjarje të dështuara për tu përpunuar në raporte, ne do të duhet të shtojmë opsioni dështoi. Parazgjedhja është ngjarje e suksesshme dhe e dështuar. Do të duhet të shkruajmë komandën siç tregohet më poshtë:

komanda e dështuar aureport 

aureport --failed

Nëse është ajo që duam të shohim raportin e hyrjes, ne do të duhet të ekzekutojmë komandën duke përdorur opsioni l siç shihet në pamjen e mëposhtme të ekranit:

komanda aureport -l 

aureport -l

Shihni raport kripto Alsoshtë gjithashtu e mundur nëse përdorim komandën me opsioni cr, siç mund ta shihni më poshtë:

aureport -cr

Ne gjithashtu mund të verifikojmë tonat raporti i modifikimit të llogarisë. Ne do të duhet vetëm të shtojmë opsioni m. Komanda duhet të ekzekutohet si më poshtë:

aureport -m

Për të parë Raporti PID, ne do të duhet vetëm të shtojmë opsioni f te komanda siç tregohet më poshtë:

aureport -p

Përveç kësaj, ne do të jemi në gjendje të shohim raporti i thirrjes së sistemit (Syscall) duke perdorur opsione. Ne mund ta ekzekutojmë komandën duke përdorur mënyrën vijuese:

aureport -s

Për të parë raportin e operacione të suksesshme, do të duhet të ekzekutojmë vetëm komandën duke shtuar opsioni i suksesit kësaj komande:

komanda aureport -suksesi 

aureport --success

Për të përfunduar, ne do të jemi në gjendje shikoni opsionet në dispozicion për këtë komandë. Thjesht shtoni opsion ndihme te komanda aureport. Do të duhet ta shkruajmë atë në terminal siç tregohet më poshtë:

aureport -komanda e ndihmës 

aureport --help

uninstall

Për ta hequr këtë mjet nga sistemi ynë, duhet thjesht të hapni një terminal (Ctrl + Alt + T) dhe të shkruani në të:

sudo apt remove auditd && sudo apt autoremove

Me këtë tashmë kemi një ide të përgjithshme të mbulimit dhe përdorimit të komandës aureport, megjithëse ky është vetëm një shembull. Kush ka nevojë për të, mund të marrë ndihmë nga faqja që mund t’i gjejmë në menaxhim. Aty do të gjejmë të njëjtin informacion që sistemi ynë do të na tregojë kur ekzekutojmë ndihmë njeriu në komandën e aureport.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.