在下一篇文章中,我們將研究Aureport。 這是一個工具 生成系統日誌的摘要報告以進行審核。 該實用程序還可以利用 標準輸入 只要輸入的是原始日誌信息即可。 這些報告的頂部有一個列標籤,以幫助解釋各個字段。 除主摘要報告外,所有報告均具有審核事件編號。
由aureport生成的報告可以用作進行更複雜分析的基礎。 東 這不是一個複雜的命令,它非常易於使用。 在這篇文章的結尾,我想我們都會對使用此命令的方式有所了解。 從我們的系統生成報告.
安裝機場
要在我們的Ubuntu上安裝此工具, 我們將需要安裝auditd。 這是Gnu / Linux審核系統的用戶空間組件。 安裝後,我們將能夠 使用ausearch或aureport實用程序查看日誌。 auditd守護程序允許Gnu / Linux系統的管理員接收內核生成的安全審核信息,對其進行過濾並將其存儲在文件中。
要進行安裝,要 我將在Ubuntu 17.10上執行此示例,我們只需在終端(Ctrl + Alt + T)中編寫以下命令:
sudo apt install auditd
這樣,我們將安裝所需的所有東西,並且可以在終端中使用此工具。 如果您不使用root帳戶,則必須 添加須藤 每個命令。
使用機場
運行您提供給我們的摘要報告 共有主要報告項目。 請記住,並非所有報告都有摘要可供使用。 如果要獲取aureport可以提供給我們的摘要報告,則只需在終端中執行以下命令(Ctrl + Alt + T)。 總結報告是作為結果生成的:
aureport
如有需要 生成認證報告,我們將不得不使用 選件au。 在終端中,我們必須將其編寫如下:
aureport -au
該命令還可以向我們顯示 我們系統可執行文件的報告。 要獲取此報告,我們將必須使用 選項x 在我們的終端:
aureport -x
選擇 失敗事件要在報告中處理,我們將不得不添加 選項失敗。 默認值為成功和失敗事件。 我們將不得不編寫如下所示的命令:
aureport --failed
如果我們想看的是 登錄報告,我們將不得不使用 選項l 如以下屏幕截圖所示:
aureport -l
視圖 加密報告 如果我們將命令與 cr選項,如下所示:
aureport -cr
我們也可以驗證我們的 帳戶修改報告。 我們只需要添加 選項m。 該命令必須按以下方式執行:
aureport -m
看到 PID報告,我們只需添加 選項p 到命令,如下所示:
aureport -p
此外,我們將能夠看到 系統調用報告(Syscall) 使用 選項。 我們可以使用以下方式執行命令:
aureport -s
查看報告 成功的運作,我們只需執行添加 成功選項 此命令:
aureport --success
最後,我們將能夠 查看此命令可用的選項。 只需添加 幫助選項 到aureport命令。 我們將不得不在終端中編寫它,如下所示:
aureport --help
卸載
要從我們的系統中刪除此工具,您只需要打開一個終端(Ctrl + Alt + T)並輸入以下內容即可:
sudo apt remove auditd && sudo apt autoremove
有了這個,我們已經對aureport命令的覆蓋範圍和使用有了一個大致的了解,儘管這只是一個示例。 誰需要它,可以得到 頁面幫助 我們可以在手冊頁中找到。 在那裡,我們將找到與執行系統時向我們顯示的信息相同的信息。 在機場命令上的人幫助.