ในบทความต่อไปเราจะมาดูที่ aureport ซึ่งเป็นเครื่องมือที่ จัดทำรายงานสรุปบันทึกระบบสำหรับการตรวจสอบ. ยูทิลิตี้นี้ยังสามารถใช้ประโยชน์จากไฟล์ สเตดิน ตราบเท่าที่อินพุตเป็นข้อมูลบันทึกดิบ รายงานมีป้ายชื่อคอลัมน์ที่ด้านบนเพื่อช่วยในการตีความฟิลด์ต่างๆ ยกเว้นรายงานสรุปหลักรายงานทั้งหมดมีหมายเลขเหตุการณ์การตรวจสอบ
รายงานที่จัดทำโดย aureport สามารถใช้เป็นหน่วยการสร้างสำหรับการวิเคราะห์ที่ซับซ้อนมากขึ้น ตะวันออก ไม่ใช่คำสั่งที่ซับซ้อนใช้งานง่ายมาก. ในตอนท้ายของโพสต์นี้ฉันคิดว่าเราทุกคนจะได้รู้เพิ่มเติมเกี่ยวกับวิธีการใช้คำสั่งนี้ สร้างรายงานจากระบบของเรา.
การติดตั้ง aureport
ในการติดตั้งเครื่องมือนี้บน Ubuntu ของเรา เราจะต้องติดตั้ง auditd. นี่คือคอมโพเนนต์พื้นที่ผู้ใช้สำหรับระบบตรวจสอบ Gnu / Linux หลังจากการติดตั้งเราจะสามารถ ดูบันทึกด้วยยูทิลิตี้ ausearch หรือ aureport. auditd daemon อนุญาตให้ผู้ดูแลระบบ Gnu / Linux รับข้อมูลการตรวจสอบความปลอดภัยที่สร้างโดยเคอร์เนลกรองข้อมูลและเก็บไว้ในไฟล์
เพื่อดำเนินการติดตั้งไปที่ ฉันจะทำตัวอย่างนี้บน Ubuntu 17.10เราจะต้องเขียนคำสั่งต่อไปนี้ในเทอร์มินัลเท่านั้น (Ctrl + Alt + T):
sudo apt install auditd
ด้วยสิ่งนี้เราจะมีทุกสิ่งที่เราต้องการติดตั้งและเราจะสามารถใช้เครื่องมือนี้ในเทอร์มินัลได้ หากคุณไม่ได้ใช้บัญชีรูทคุณจะต้อง เพิ่ม sudo กับแต่ละคำสั่ง
ใช้ aureport
เรียกใช้รายงานสรุปที่คุณให้เรา รายการรายงานหลักทั้งหมด. โปรดทราบว่าไม่ใช่ทุกรายงานที่จะมีข้อมูลสรุปให้ใช้งานได้ หากเราต้องการรับรายงานสรุปที่ aureport สามารถให้เราได้เราจะต้องดำเนินการคำสั่งต่อไปนี้ในเทอร์มินัล (Ctrl + Alt + T) รายงานสรุปถูกสร้างขึ้นด้วยผลลัพธ์:
aureport
ในกรณีที่ต้องการ สร้างรายงานการรับรองความถูกต้องเราจะต้องดำเนินการคำสั่งโดยใช้ ตัวเลือก au. ในเทอร์มินัลเราจะต้องเขียนดังนี้:
aureport -au
คำสั่งยังสามารถแสดงไฟล์ รายงานปฏิบัติการของระบบของเรา. ในการรับรายงานนี้เราจะต้องดำเนินการคำสั่งด้วยไฟล์ ตัวเลือก x ในเทอร์มินัลของเรา:
aureport -x
เพื่อเลือกไฟล์ เหตุการณ์ที่ล้มเหลวในการประมวลผลในรายงานเราจะต้องเพิ่มไฟล์ ตัวเลือกล้มเหลว. ค่าเริ่มต้นคือทั้งเหตุการณ์ที่สำเร็จและล้มเหลว เราจะต้องเขียนคำสั่งดังภาพด้านล่าง:
aureport --failed
หากสิ่งที่เราต้องการเห็นคือ รายงานการเข้าสู่ระบบเราจะต้องดำเนินการคำสั่งโดยใช้ ตัวเลือก l ดังที่เห็นในภาพหน้าจอต่อไปนี้:
aureport -l
ดู รายงานการเข้ารหัสลับ นอกจากนี้ยังเป็นไปได้หากเราใช้คำสั่งกับไฟล์ ตัวเลือก crดังที่คุณเห็นด้านล่าง:
aureport -cr
นอกจากนี้เรายังสามารถตรวจสอบไฟล์ รายงานการแก้ไขบัญชี. เราจะต้องเพิ่มไฟล์ ตัวเลือกม. ต้องดำเนินการคำสั่งดังต่อไปนี้:
aureport -m
เพื่อดู รายงาน PIDเราจะต้องเพิ่มไฟล์ ตัวเลือก p ไปยังคำสั่งดังที่แสดงด้านล่าง:
aureport -p
นอกจากนี้เราสามารถดูไฟล์ รายงานการโทรระบบ (Syscall) ใช้งาน ตัวเลือก. เราสามารถดำเนินการคำสั่งโดยใช้วิธีต่อไปนี้:
aureport -s
หากต้องการดูรายงานของไฟล์ การดำเนินงานที่ประสบความสำเร็จเราจะต้องดำเนินการคำสั่งโดยเพิ่มไฟล์ ตัวเลือกความสำเร็จ คำสั่งนี้:
aureport --success
เพื่อให้เสร็จสิ้นเราจะสามารถ ดูตัวเลือกที่พร้อมใช้งานสำหรับคำสั่งนี้. เพียงเพิ่มไฟล์ ตัวเลือกความช่วยเหลือ ไปยังคำสั่ง aureport เราจะต้องเขียนลงในเทอร์มินัลดังที่แสดงด้านล่าง:
aureport --help
ถอนการติดตั้ง
ในการลบเครื่องมือนี้ออกจากระบบของเราคุณเพียงแค่เปิดเทอร์มินัล (Ctrl + Alt + T) แล้วเขียนมัน:
sudo apt remove auditd && sudo apt autoremove
ด้วยเหตุนี้เราจึงมีแนวคิดทั่วไปเกี่ยวกับความครอบคลุมและการใช้คำสั่ง aureport แม้ว่านี่จะเป็นเพียงตัวอย่างเท่านั้น ใครต้องการก็รับได้ ความช่วยเหลือจากหน้า ที่เราสามารถพบได้ในการจัดการ. ที่นั่นเราจะพบข้อมูลเดียวกันกับที่ระบบของเราจะแสดงให้เราเห็นเมื่อดำเนินการ คนช่วยในคำสั่ง aureport.