Aureport สร้างข้อมูลสรุปของบันทึกระบบ

ในบทความต่อไปเราจะมาดูที่ aureport ซึ่งเป็นเครื่องมือที่ จัดทำรายงานสรุปบันทึกระบบสำหรับการตรวจสอบ. ยูทิลิตี้นี้ยังสามารถใช้ประโยชน์จากไฟล์ สเตดิน ตราบเท่าที่อินพุตเป็นข้อมูลบันทึกดิบ รายงานมีป้ายชื่อคอลัมน์ที่ด้านบนเพื่อช่วยในการตีความฟิลด์ต่างๆ ยกเว้นรายงานสรุปหลักรายงานทั้งหมดมีหมายเลขเหตุการณ์การตรวจสอบ

รายงานที่จัดทำโดย aureport สามารถใช้เป็นหน่วยการสร้างสำหรับการวิเคราะห์ที่ซับซ้อนมากขึ้น ตะวันออก ไม่ใช่คำสั่งที่ซับซ้อนใช้งานง่ายมาก. ในตอนท้ายของโพสต์นี้ฉันคิดว่าเราทุกคนจะได้รู้เพิ่มเติมเกี่ยวกับวิธีการใช้คำสั่งนี้ สร้างรายงานจากระบบของเรา.

การติดตั้ง aureport

ในการติดตั้งเครื่องมือนี้บน Ubuntu ของเรา เราจะต้องติดตั้ง auditd. นี่คือคอมโพเนนต์พื้นที่ผู้ใช้สำหรับระบบตรวจสอบ Gnu / Linux หลังจากการติดตั้งเราจะสามารถ ดูบันทึกด้วยยูทิลิตี้ ausearch หรือ aureport. auditd daemon อนุญาตให้ผู้ดูแลระบบ Gnu / Linux รับข้อมูลการตรวจสอบความปลอดภัยที่สร้างโดยเคอร์เนลกรองข้อมูลและเก็บไว้ในไฟล์

เพื่อดำเนินการติดตั้งไปที่ ฉันจะทำตัวอย่างนี้บน Ubuntu 17.10เราจะต้องเขียนคำสั่งต่อไปนี้ในเทอร์มินัลเท่านั้น (Ctrl + Alt + T):

sudo apt install auditd

ด้วยสิ่งนี้เราจะมีทุกสิ่งที่เราต้องการติดตั้งและเราจะสามารถใช้เครื่องมือนี้ในเทอร์มินัลได้ หากคุณไม่ได้ใช้บัญชีรูทคุณจะต้อง เพิ่ม sudo กับแต่ละคำสั่ง

ใช้ aureport

เรียกใช้รายงานสรุปที่คุณให้เรา รายการรายงานหลักทั้งหมด. โปรดทราบว่าไม่ใช่ทุกรายงานที่จะมีข้อมูลสรุปให้ใช้งานได้ หากเราต้องการรับรายงานสรุปที่ aureport สามารถให้เราได้เราจะต้องดำเนินการคำสั่งต่อไปนี้ในเทอร์มินัล (Ctrl + Alt + T) รายงานสรุปถูกสร้างขึ้นด้วยผลลัพธ์:

aureport

ในกรณีที่ต้องการ สร้างรายงานการรับรองความถูกต้องเราจะต้องดำเนินการคำสั่งโดยใช้ ตัวเลือก au. ในเทอร์มินัลเราจะต้องเขียนดังนี้:

aureport -au

คำสั่งยังสามารถแสดงไฟล์ รายงานปฏิบัติการของระบบของเรา. ในการรับรายงานนี้เราจะต้องดำเนินการคำสั่งด้วยไฟล์ ตัวเลือก x ในเทอร์มินัลของเรา:

aureport -x

เพื่อเลือกไฟล์ เหตุการณ์ที่ล้มเหลวในการประมวลผลในรายงานเราจะต้องเพิ่มไฟล์ ตัวเลือกล้มเหลว. ค่าเริ่มต้นคือทั้งเหตุการณ์ที่สำเร็จและล้มเหลว เราจะต้องเขียนคำสั่งดังภาพด้านล่าง:

aureport --failed

หากสิ่งที่เราต้องการเห็นคือ รายงานการเข้าสู่ระบบเราจะต้องดำเนินการคำสั่งโดยใช้ ตัวเลือก l ดังที่เห็นในภาพหน้าจอต่อไปนี้:

aureport -l

ดู รายงานการเข้ารหัสลับ นอกจากนี้ยังเป็นไปได้หากเราใช้คำสั่งกับไฟล์ ตัวเลือก crดังที่คุณเห็นด้านล่าง:

aureport -cr

นอกจากนี้เรายังสามารถตรวจสอบไฟล์ รายงานการแก้ไขบัญชี. เราจะต้องเพิ่มไฟล์ ตัวเลือกม. ต้องดำเนินการคำสั่งดังต่อไปนี้:

aureport -m

เพื่อดู รายงาน PIDเราจะต้องเพิ่มไฟล์ ตัวเลือก p ไปยังคำสั่งดังที่แสดงด้านล่าง:

aureport -p

นอกจากนี้เราสามารถดูไฟล์ รายงานการโทรระบบ (Syscall) ใช้งาน ตัวเลือก. เราสามารถดำเนินการคำสั่งโดยใช้วิธีต่อไปนี้:

aureport -s

หากต้องการดูรายงานของไฟล์ การดำเนินงานที่ประสบความสำเร็จเราจะต้องดำเนินการคำสั่งโดยเพิ่มไฟล์ ตัวเลือกความสำเร็จ คำสั่งนี้:

aureport --success

เพื่อให้เสร็จสิ้นเราจะสามารถ ดูตัวเลือกที่พร้อมใช้งานสำหรับคำสั่งนี้. เพียงเพิ่มไฟล์ ตัวเลือกความช่วยเหลือ ไปยังคำสั่ง aureport เราจะต้องเขียนลงในเทอร์มินัลดังที่แสดงด้านล่าง:

aureport --help

ถอนการติดตั้ง

ในการลบเครื่องมือนี้ออกจากระบบของเราคุณเพียงแค่เปิดเทอร์มินัล (Ctrl + Alt + T) แล้วเขียนมัน:

sudo apt remove auditd && sudo apt autoremove

ด้วยเหตุนี้เราจึงมีแนวคิดทั่วไปเกี่ยวกับความครอบคลุมและการใช้คำสั่ง aureport แม้ว่านี่จะเป็นเพียงตัวอย่างเท่านั้น ใครต้องการก็รับได้ ความช่วยเหลือจากหน้า ที่เราสามารถพบได้ในการจัดการ. ที่นั่นเราจะพบข้อมูลเดียวกันกับที่ระบบของเราจะแสดงให้เราเห็นเมื่อดำเนินการ คนช่วยในคำสั่ง aureport.