У наступній статті ми збираємось поглянути на аурепорт. Це інструмент, який виробляє зведені звіти системних журналів для аудиту. Ця утиліта також може використовувати stdin до тих пір, поки вхідними даними є необроблена інформація журналу. Звіти мають ярлик стовпця у верхній частині, який допомагає інтерпретувати різні поля. За винятком основного підсумкового звіту, усі звіти мають номер аудиторської події.
Звіти, вироблені aureport, можуть бути використані як складові для більш складних аналізів. Схід це не складна команда, вона дуже проста у використанні. В кінці цього допису, я думаю, ми всі будемо знати трохи більше про те, як можна використовувати цю команду генерувати звіти з нашої системи.
Встановлення автопорту
Щоб встановити цей інструмент на нашому Ubuntu, нам потрібно буде встановити auditd. Це компонент простору користувача для системи аудиту Gnu / Linux. Після установки ми зможемо переглядати журнали за допомогою служб ausearch або aureport. Демон auditd дозволяє адміністратору системи Gnu / Linux отримувати інформацію про аудит безпеки, що генерується ядром, фільтрувати її та зберігати у файлах.
Для проведення монтажу, до Я збираюся зробити цей приклад на Ubuntu 17.10, нам потрібно буде написати в терміналі лише таку команду (Ctrl + Alt + T):
sudo apt install auditd
Завдяки цьому у нас буде встановлено все необхідне, і ми зможемо використовувати цей інструмент у терміналі. Якщо ви не використовуєте кореневий обліковий запис, вам доведеться додати sudo до кожної з команд.
Використання аурепорту
Запустіть зведений звіт, який ви нам надаєте загалом основних пунктів звіту. Майте на увазі, що не всі звіти мають короткий зміст, який можна використовувати. Якщо ми хочемо отримати зведений звіт, який може нам надати aureport, нам просто доведеться виконати таку команду в терміналі (Ctrl + Alt + T). Підсумковий звіт формується в результаті:
aureport
У разі бажання створити звіт про автентифікацію, нам доведеться виконати команду за допомогою варіант ау. У терміналі нам доведеться писати це так:
aureport -au
Команда також може показати нам звіт про виконувані файли нашої системи. Щоб отримати цей звіт, нам доведеться виконати команду за допомогою варіант x у нашому терміналі:
aureport -x
Щоб вибрати невдалі події для обробки у звітах, нам доведеться додати варіант не вдався. За замовчуванням це як успішні, так і невдалі події. Нам доведеться написати команду, як показано нижче:
aureport --failed
Якщо те, що ми хочемо бачити, є звіт про вхід, нам доведеться виконати команду за допомогою варіант l як видно на наступному скріншоті:
aureport -l
Дивіться криптозвіт Це також можливо, якщо ми використовуємо команду з кр варіант, як ви можете бачити нижче:
aureport -cr
Ми також можемо перевірити наш звіт про зміну рахунку. Нам залишиться лише додати варіант м. Команда повинна виконуватися наступним чином:
aureport -m
Щоб побачити Звіт ПІД, нам залишиться лише додати варіант с до команди, як показано нижче:
aureport -p
Крім того, ми зможемо побачити звіт про системний дзвінок (Syscall) за допомогою варіант s. Ми можемо виконати команду таким чином:
aureport -s
Для перегляду звіту успішних операцій, нам залишиться лише виконати команду, додавши варіант успіху до цієї команди:
aureport --success
На закінчення ми зможемо перегляньте варіанти, доступні для цієї команди. Просто додайте варіант довідки до команди aureport. Нам доведеться написати це в терміналі, як показано нижче:
aureport --help
Видаліть
Щоб видалити цей інструмент з нашої системи, вам просто потрібно відкрити термінал (Ctrl + Alt + T) і написати в ньому:
sudo apt remove auditd && sudo apt autoremove
З цим ми вже маємо загальне уявлення про охоплення та використання команди aureport, хоча це лише зразок. Кому це потрібно, може отримати довідка зі сторінки що ми можемо знайти на сторінках. Там ми знайдемо ту саму інформацію, яку наша система покаже нам при виконанні допомога за командою aureport.