Bir sonraki makalede aureport'a bir göz atacağız. Bu bir araçtır denetim için sistem günlüklerinin özet raporlarını üretir. Bu yardımcı program aynı zamanda stdin girdi ham günlük bilgisi olduğu sürece. Raporların üst kısmında, çeşitli alanların yorumlanmasına yardımcı olmak için bir sütun etiketi bulunur. Ana özet raporu dışında, tüm raporların bir denetim olay numarası vardır.
Aureport tarafından üretilen raporlar, daha karmaşık analizler için yapı taşları olarak kullanılabilir. Doğu karmaşık bir komut değil, kullanımı çok kolay. Bu yazının sonunda, sanırım hepimiz bu komutun nasıl kullanılabileceği hakkında biraz daha bilgi sahibi olacağız. sistemimizden raporlar oluşturmak.
Aureport kurulumu
Bu aracı Ubuntu'muza kurmak için, Auditd'yi yüklememiz gerekecek. Bu, Gnu / Linux denetim sistemi için kullanıcı alanı bileşenidir. Kurulumdan sonra yapabileceğiz ausearch veya aureport yardımcı programları ile günlükleri görüntüleyin. Auditd arka plan programı, bir Gnu / Linux sisteminin yöneticisinin çekirdek tarafından üretilen güvenlik denetimi bilgilerini almasına, onu filtrelemesine ve dosyalarda saklamasına izin verir.
Kurulumu gerçekleştirmek için Bu örneği Ubuntu 17.10'da yapacağım, sadece terminale (Ctrl + Alt + T) aşağıdaki komutu yazmamız gerekecek:
sudo apt install auditd
Bununla ihtiyacımız olan her şeyi kurmuş olacağız ve bu aracı terminalde kullanabileceğiz. Kök hesabı kullanmıyorsanız, yapmanız gerekecek sudo ekle komutların her birine.
Aureport kullanma
Bize sağladığınız özet raporu çalıştırın toplam ana rapor öğeleri. Tüm raporların kullanılabilecek bir özeti olmadığını unutmayın. Aureport'un bize sağlayabileceği özet raporu almak istiyorsak, terminalde aşağıdaki komutu (Ctrl + Alt + T) yürütmemiz yeterlidir. Sonuç olarak özet rapor oluşturulur:
aureport
İstemek durumunda kimlik doğrulama raporu oluştur, komutu kullanarak çalıştırmamız gerekecek au seçeneği. Terminalde bunu şu şekilde yazmamız gerekecek:
aureport -au
Komut ayrıca bize şunu da gösterebilir: sistemimizin çalıştırılabilirlerinin raporu. Bu raporu elde etmek için komutu ile yürütmemiz gerekecek. seçenek x terminalimizde:
aureport -x
Seçmek için raporlarda işlenemeyen olaylar, eklememiz gerekecek seçenek başarısız oldu. Varsayılan, hem başarılı hem de başarısız olaylardır. Komutu aşağıda gösterildiği gibi yazmamız gerekecek:
aureport --failed
Eğer görmek istediğimiz şeyse giriş raporu, komutu kullanarak çalıştırmamız gerekecek seçenek l aşağıdaki ekran görüntüsünde görüldüğü gibi:
aureport -l
Bakın kripto raporu Komutu ile birlikte kullanırsak da mümkündür. cr seçeneğiaşağıda görebileceğiniz gibi:
aureport -cr
Ayrıca şunu da doğrulayabiliriz: hesap değişiklik raporu. Sadece eklememiz gerekecek seçenek m. Komut aşağıdaki gibi yürütülmelidir:
aureport -m
Görmek için PID raporu, sadece eklememiz gerekecek seçenek p komuta aşağıda gösterildiği gibi:
aureport -p
Ek olarak, göreceğiz sistem çağrısı raporu (Syscall) kullanmak seçenek s. Komutu şu şekilde çalıştırabiliriz:
aureport -s
Raporunu görüntülemek için başarılı operasyonlar, sadece ekleyerek komutu yürütmek zorunda kalacağız. başarı seçeneği bu komuta:
aureport --success
Bitirmek için yapabileceğiz bu komut için mevcut seçeneklere bakın. Basitçe ekleyin yardım seçeneği aureport komutuna. Aşağıda gösterildiği gibi terminalde yazmamız gerekecek:
aureport --help
kaldırma
Bu aracı sistemimizden kaldırmak için bir terminal açmanız (Ctrl + Alt + T) ve içine yazmanız yeterlidir:
sudo apt remove auditd && sudo apt autoremove
Bununla, aureport komutunun kapsamı ve kullanımı hakkında genel bir fikrimiz var, ancak bu sadece bir örnek. Kimin ihtiyacı var, alabilir sayfadan yardım yönetim sayfalarında bulabileceğimiz. Orada, sistemimizin bize çalıştırırken göstereceği bilgilerin aynısını bulacağız. aureport komutunda adam yardım.