I nästa artikel ska vi ta en titt på aureport. Detta är ett verktyg som producerar sammanfattande rapporter om systemloggar för granskning. Detta verktyg kan också använda stdin så länge ingången är rå logginformation. Rapporterna har en kolumnetikett högst upp för att hjälpa till med tolkningen av de olika fälten. Med undantag för den huvudsakliga sammanfattningsrapporten har alla rapporter ett revisionshändelsenummer.
Rapporterna som produceras av aureport kan användas som byggstenar för mer komplicerade analyser. Öst det är inte ett komplext kommando, det är väldigt enkelt att använda. I slutet av detta inlägg tror jag att vi alla kommer att veta lite mer om hur detta kommando kan användas för generera rapporter från vårt system.
Installation av aureport
För att installera det här verktyget på vårt Ubuntu, vi måste installera auditd. Detta är komponenten för användarutrymme för Gnu / Linux-granskningssystemet. Efter installationen kommer vi att kunna visa loggar med ausearch eller aureport-verktyg. Auditddemon tillåter administratören av ett Gnu / Linux-system att ta emot säkerhetsrevisionsinformation som genereras av kärnan, filtrera den och lagra den i filer.
För att utföra installationen, till Jag ska göra detta exempel på Ubuntu 17.10, vi behöver bara skriva följande kommando i terminalen (Ctrl + Alt + T):
sudo apt install auditd
Med detta kommer vi att ha allt vi behöver installerat och vi kommer att kunna använda detta verktyg i terminalen. Om du inte använder root-kontot måste du lägg till sudo till vart och ett av kommandona.
Med hjälp av aureport
Kör den sammanfattningsrapport som du tillhandahåller oss sammanlagt huvudrapporten. Tänk på att inte alla rapporter har en sammanfattning för att kunna användas. Om vi vill få den sammanfattningsrapport som aureport kan ge oss måste vi helt enkelt utföra följande kommando i terminalen (Ctrl + Alt + T). Sammanfattningsrapporten genereras som ett resultat:
aureport
Om du vill generera autentiseringsrapportenmåste vi utföra kommandot med alternativ au. I terminalen måste vi skriva det enligt följande:
aureport -au
Kommandot kan också visa oss rapport om körbara filer i vårt system. För att få denna rapport måste vi utföra kommandot med alternativ x i vår terminal:
aureport -x
För att välja misslyckade händelser att bearbetas i rapportermåste vi lägga till alternativet misslyckades. Standard är både lyckade och misslyckade händelser. Vi måste skriva kommandot enligt nedan:
aureport --failed
Om det vi vill se är inloggningsrapportenmåste vi utföra kommandot med alternativ l som framgår av följande skärmdump:
aureport -l
Se kryptorapport Det är också möjligt om vi använder kommandot med cr-alternativ, som du kan se nedan:
aureport -cr
Vi kan också verifiera våra rapport om ändring av konto. Vi behöver bara lägga till alternativ m. Kommandot måste utföras enligt följande:
aureport -m
Att se PID-rapport, vi behöver bara lägga till alternativ s till kommandot som visas nedan:
aureport -p
Dessutom kommer vi att kunna se systemanropsrapport (Syscall) använda alternativ. Vi kan utföra kommandot på följande sätt:
aureport -s
För att se rapporten från framgångsrik verksamhet, vi behöver bara utföra kommandot som lägger till framgångsalternativ till detta kommando:
aureport --success
För att avsluta kommer vi att kunna se tillgängliga alternativ för detta kommando. Lägg bara till hjälpalternativ till aureport-kommandot. Vi måste skriva det i terminalen enligt nedan:
aureport --help
avinstallera
För att ta bort det här verktyget från vårt system behöver du bara öppna en terminal (Ctrl + Alt + T) och skriva i den:
sudo apt remove auditd && sudo apt autoremove
Med detta har vi redan en allmän uppfattning om täckningen och användningen av aureport-kommandot, även om detta bara är ett exempel. Vem behöver det, kan få hjälp från sidan som vi kan hitta på manpages. Där hittar vi samma information som vårt system visar oss när vi kör man hjälp på aureport kommando.