在下一篇文章中,我们将看一下aureport。 这是一个工具 生成系统日志的摘要报告以进行审核。 该实用程序还可以利用 标准输入 只要输入的是原始日志信息即可。 这些报告的顶部有一个列标签,以帮助解释各个字段。 除主摘要报告外,所有报告均具有审核事件编号。
Aureport生成的报告可以用作进行更复杂分析的基础。 东 这不是一个复杂的命令,非常易于使用。 在这篇文章的结尾,我想我们都会对使用此命令的方式有所了解。 从我们的系统生成报告.
安装机场
要在我们的Ubuntu上安装此工具, 我们将需要安装auditd。 这是Gnu / Linux审核系统的用户空间组件。 安装后,我们将能够 使用ausearch或aureport实用程序查看日志。 auditd守护程序允许Gnu / Linux系统的管理员接收内核生成的安全审核信息,对其进行过滤并将其存储在文件中。
要进行安装,要 我将在Ubuntu 17.10上执行此示例,我们只需在终端(Ctrl + Alt + T)中输入以下命令:
sudo apt install auditd
这样,我们将安装所需的所有东西,并且可以在终端中使用此工具。 如果您不使用root帐户,则必须 添加须藤 每个命令。
使用机场
运行您提供给我们的摘要报告 共有主要报告项目。 请记住,并非所有报告都有摘要可供使用。 如果要获取aureport可以提供给我们的摘要报告,我们只需在终端中执行以下命令(Ctrl + Alt + T)。 摘要报告是作为结果生成的:
aureport
如有需要 生成认证报告,我们将不得不使用 选件au。 在终端中,我们必须将其编写如下:
aureport -au
该命令还可以向我们显示 我们系统可执行文件的报告。 要获取此报告,我们必须使用以下命令执行命令 选项x 在我们的终端:
aureport -x
选择 失败事件要在报告中处理,我们将不得不添加 选项失败。 默认值为成功和失败事件。 我们将不得不编写如下所示的命令:
aureport --failed
如果我们想看的是 登录报告,我们将不得不使用 选项l 如以下屏幕截图所示:
aureport -l
视图 加密报告 如果我们将命令与 cr选项,如下所示:
aureport -cr
我们也可以验证我们的 帐户修改报告。 我们只需要添加 选项m。 该命令必须按以下方式执行:
aureport -m
看到 PID报告,我们只需添加 选项p 到命令,如下所示:
aureport -p
此外,我们可以看到 系统调用报告(Syscall) 使用 选项。 我们可以使用以下方式执行命令:
aureport -s
查看报告 成功的运作,我们只需执行添加 成功选项 此命令:
aureport --success
最后,我们将能够 查看此命令可用的选项。 只需添加 帮助选项 到aureport命令。 我们将不得不在终端中编写它,如下所示:
aureport --help
卸载
要从我们的系统中删除此工具,您只需要打开一个终端(Ctrl + Alt + T)并输入以下内容即可:
sudo apt remove auditd && sudo apt autoremove
有了这个,我们已经对aureport命令的覆盖范围和使用有了一个大致的了解,尽管这只是一个示例。 谁需要它,可以得到 页面帮助 我们可以在手册页中找到。 在那里,我们将找到与执行系统时向我们显示的信息相同的信息。 在机场命令上的人帮助.