Trong phần tiếp theo, chúng ta sẽ xem xét các cảng hàng không. Đây là một công cụ tạo báo cáo tóm tắt nhật ký hệ thống để kiểm tra. Tiện ích này cũng có thể sử dụng tiêu chuẩn miễn là đầu vào là thông tin nhật ký thô. Các báo cáo có nhãn cột ở trên cùng để giúp giải thích các trường khác nhau. Ngoại trừ báo cáo tóm tắt chính, tất cả các báo cáo đều có số sự kiện kiểm toán.
Các báo cáo do aureport tạo ra có thể được sử dụng như các khối xây dựng để phân tích phức tạp hơn. phía đông nó không phải là một lệnh phức tạp, nó rất dễ sử dụng. Ở phần cuối của bài đăng này, tôi nghĩ rằng tất cả chúng ta sẽ biết thêm một chút về các cách mà lệnh này có thể được sử dụng để tạo báo cáo từ hệ thống của chúng tôi.
Lắp đặt sân bay
Để cài đặt công cụ này trên Ubuntu của chúng tôi, chúng tôi sẽ cần cài đặt Auditd. Đây là thành phần không gian người dùng cho hệ thống kiểm toán Gnu / Linux. Sau khi cài đặt, chúng tôi sẽ có thể xem nhật ký bằng các tiện ích ausearch hoặc aureport. Daemon Auditd cho phép người quản trị hệ thống Gnu / Linux nhận thông tin kiểm tra bảo mật do hạt nhân tạo ra, lọc và lưu trữ trong tệp.
Để tiến hành cài đặt, Tôi sẽ làm ví dụ này trên Ubuntu 17.10, chúng ta sẽ chỉ phải nhập vào terminal (Ctrl + Alt + T) lệnh sau:
sudo apt install auditd
Với điều này, chúng tôi sẽ có mọi thứ chúng tôi cần cài đặt và chúng tôi sẽ có thể sử dụng công cụ này trong thiết bị đầu cuối. Nếu bạn không sử dụng tài khoản gốc, bạn sẽ phải thêm sudo cho mỗi lệnh.
Sử dụng aureport
Chạy báo cáo tóm tắt mà bạn cung cấp cho chúng tôi tổng số các mục báo cáo chính. Hãy nhớ rằng không phải tất cả các báo cáo đều có bản tóm tắt để có thể sử dụng được. Nếu chúng tôi muốn nhận được báo cáo tóm tắt mà aureport có thể cung cấp cho chúng tôi, chúng tôi sẽ chỉ cần thực hiện lệnh sau trong thiết bị đầu cuối (Ctrl + Alt + T). Kết quả là báo cáo tóm tắt được tạo ra:
aureport
Trong trường hợp muốn tạo báo cáo xác thực, chúng ta sẽ phải thực hiện lệnh bằng cách sử dụng tùy chọn au. Trong thiết bị đầu cuối, chúng ta sẽ phải viết nó như sau:
aureport -au
Lệnh này cũng có thể cho chúng ta thấy báo cáo về các tệp thực thi của hệ thống của chúng tôi. Để có được báo cáo này, chúng tôi sẽ phải thực hiện lệnh với tùy chọn x trong thiết bị đầu cuối của chúng tôi:
aureport -x
Để chọn các sự kiện không xử lý được trong báo cáo, chúng tôi sẽ phải thêm tùy chọn không thành công. Mặc định là cả sự kiện thành công và không thành công. Chúng ta sẽ phải viết lệnh như hình dưới đây:
aureport --failed
Nếu những gì chúng ta muốn xem là báo cáo đăng nhập, chúng ta sẽ phải thực hiện lệnh bằng cách sử dụng lựa chọn l như được thấy trong ảnh chụp màn hình sau:
aureport -l
Xem báo cáo tiền điện tử Cũng có thể nếu chúng ta sử dụng lệnh với tùy chọn cr, như bạn có thể thấy bên dưới:
aureport -cr
Chúng tôi cũng có thể xác minh báo cáo sửa đổi tài khoản. Chúng tôi sẽ chỉ phải thêm tùy chọn m. Lệnh phải được thực hiện như sau:
aureport -m
Để xem Báo cáo PID, chúng tôi sẽ chỉ phải thêm tùy chọn p vào lệnh như hình dưới đây:
aureport -p
Ngoài ra, chúng ta sẽ có thể thấy báo cáo cuộc gọi hệ thống (Syscall) sử dụng tùy chọn s. Chúng ta có thể thực hiện lệnh bằng cách sau:
aureport -s
Để xem báo cáo của hoạt động thành công, chúng tôi sẽ chỉ phải thực hiện lệnh thêm lựa chọn thành công với lệnh này:
aureport --success
Để kết thúc, chúng tôi sẽ có thể xem các tùy chọn có sẵn cho lệnh này. Chỉ cần thêm tùy chọn trợ giúp tới lệnh aureport. Chúng ta sẽ phải viết nó trong terminal như hình dưới đây:
aureport --help
Gỡ cài đặt
Để xóa công cụ này khỏi hệ thống của chúng tôi, bạn chỉ cần mở một thiết bị đầu cuối (Ctrl + Alt + T) và viết vào đó:
sudo apt remove auditd && sudo apt autoremove
Với điều này, chúng ta đã có một ý tưởng chung về phạm vi và việc sử dụng lệnh aureport, mặc dù đây chỉ là một mẫu. Ai cần thì lấy trợ giúp từ trang mà chúng ta có thể tìm thấy trong các trang. Ở đó, chúng tôi sẽ tìm thấy cùng một thông tin mà hệ thống của chúng tôi sẽ hiển thị cho chúng tôi khi thực thi người đàn ông giúp đỡ về lệnh aureport.