У следећем чланку ћемо погледати аурепорт. Ово је алат који производи збирне извештаје системских дневника за ревизију. Овај услужни програм такође може да користи стдин све док су улазне сирове информације дневника. Извештаји на врху имају ознаку колоне која помаже у тумачењу различитих поља. Осим главног резиме извештаја, сви извештаји имају број догађаја ревизије.
Извештаји које је израдио аурепорт могу се користити као градивни блок за сложеније анализе. Исток није сложена команда, врло је једноставна за употребу. На крају овог поста мислим да ћемо сви знати мало више о начинима на које се ова команда може користити генеришите извештаје из нашег система.
Инсталација аурепорта
Да бисте инсталирали овај алат на наш Убунту, мораћемо да инсталирамо аудитд. Ово је компонента корисничког простора за Гну / Линук систем ревизије. Након инсталације моћи ћемо прегледајте евиденције помоћу услужних програма аусеарцх или аурепорт. Даимон аудитд омогућава администратору Гну / Линук система да прима информације о безбедносној ревизији генерисане кернелом, филтрира их и складишти у датотеке.
Да бисте извршили инсталацију, до Урадићу овај пример на Убунту 17.10, у терминал ћемо морати да напишемо само следећу команду: Цтрл + Алт + Т):
sudo apt install auditd
Овим ћемо инсталирати све што нам треба и моћи ћемо да користимо овај алат у терминалу. Ако не користите основни налог, мораћете додати судо свакој од наредби.
Коришћење аурепорта
Покрените резиме извештаја који сте нам послали укупно главне ставке извештаја. Имајте на уму да немају сви извештаји резиме да би се могли користити. Ако желимо да добијемо резиме извештаја који нам аурепорт може пружити, једноставно ћемо морати извршити следећу команду у терминалу (Цтрл + Алт + Т). Резиме извештаја се генерише као резултат:
aureport
У случају да жели генерисати извештај о аутентичности, команду ћемо морати извршити помоћу опција ау. У терминалу ћемо то морати написати на следећи начин:
aureport -au
Команда такође може да нам покаже извештај извршних датотека нашег система. Да бисмо добили овај извештај, морат ћемо извршити наредбу помоћу опција к у нашем терминалу:
aureport -x
Да бисте изабрали неуспели догађаји за обраду у извештајима, мораћемо да додамо опција није успела. Подразумевано су и успешни и неуспели догађаји. Морамо написати наредбу као што је приказано доле:
aureport --failed
Ако је оно што желимо да видимо извештај о пријављивању, команду ћемо морати извршити помоћу опција л као што се види на следећем снимку екрана:
aureport -l
Видите крипто извештај Такође је могуће ако користимо команду са цр опција, као што можете видети доле:
aureport -cr
Такође можемо да верификујемо наше извештај о промени налога. Морамо само додати опција м. Команда се мора извршити на следећи начин:
aureport -m
Да видим ПИД извештај, мораћемо само да додамо опција стр наредби као што је приказано доле:
aureport -p
Поред тога, моћи ћемо да видимо и извештај о системском позиву (Сисцалл) помоћу Опције. Наредбу можемо извршити на следећи начин:
aureport -s
Да бисте погледали извештај успешне операције, морат ћемо извршити само наредбу додавањем опција успеха на ову наредбу:
aureport --success
Да завршимо, моћи ћемо погледајте опције доступне за ову команду. Једноставно додајте опција помоћи команди аурепорт. Морат ћемо то записати у терминал како је приказано доље:
aureport --help
Деинсталирај
Да бисте уклонили овај алат из нашег система, довољно је да отворите терминал (Цтрл + Алт + Т) и у њега напишете:
sudo apt remove auditd && sudo apt autoremove
Овим већ имамо општу представу о покривености и употреби наредбе аурепорт, мада је ово само узорак. Коме треба, може и добити помоћ са странице које можемо наћи на манпагес-у. Тамо ћемо наћи исте информације које ће нам показати наш систем приликом извршавања помоћ човека по команди аурепорта.