Ricerca nel sito web

Come creare report dai log di controllo utilizzando "aureport" su CentOS/RHEL

Questo articolo è la nostra serie in corso sull'auditing Linux, nei nostri ultimi due articoli abbiamo spiegato come installare e controllare i sistemi Linux (CentOS e RHEL) e come interrogare i log utilizzando utilità ausearch.

In questa terza parte, spiegheremo come generare report dai file di registro di controllo utilizzando l'utilità aureport nelle distribuzioni Linux basate su CentOS e RHEL.

Leggi anche: Come produrre e distribuire report sulle attività del sistema utilizzando i set di strumenti Linux

Cos'è l'aureport?

aureport è un'utilità della riga di comando utilizzata per creare utili report di riepilogo dai file di registro di controllo archiviati in /var/log/audit/. Come ausearch, accetta anche dati di registro grezzi da stdin.

È un'utilità facile da usare; passa semplicemente un'opzione per un tipo specifico di report di cui hai bisogno, come mostrato negli esempi seguenti.

Crea un report relativo alle chiavi delle regole di controllo

Il comando aurepot produrrà un rapporto su tutte le chiavi specificate nelle regole di controllo, utilizzando il flag -k.

aureport -k

Puoi abilitare l'interpretazione delle entità numeriche in testo (ad esempio convertire l'UID nel nome dell'account) utilizzando l'opzione -i.

aureport -k -i

Crea report sui tentativi di autenticazione

Se hai bisogno di un report su tutti gli eventi relativi ai tentativi di autenticazione per tutti gli utenti, usa l'opzione -au.

aureport -au 
OR
aureport -au -i

Produrre un rapporto relativo agli accessi

L'opzione -l dice a aureport di generare un report di tutti gli accessi come segue.

Segnala eventi non riusciti sul sistema

Il comando seguente mostra come segnalare tutti gli eventi non riusciti.

aureport --failed

Genera un rapporto di riepilogo per un determinato periodo di tempo

È anche possibile generare report per un periodo di tempo specificato; -ts definisce la data/ora di inizio e -te imposta una data/ora di fine. Puoi anche utilizzare parole come adesso, recente, oggi, ieri, questa settimana, settimana fa, questo mese, quest'anno invece dei formati dell'ora effettiva.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i

Produrre report da diversi file di registro di controllo

Se desideri creare un report da un file diverso dai file di registro predefiniti nella directory /var/log/audit, utilizza il flag -if per specificare il file.

Questo comando segnala tutti gli accessi registrati in /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log

Puoi trovare tutte le opzioni e ulteriori informazioni nella pagina man di aureport.

man aureport

Di seguito è riportato un elenco di articoli riguardanti la gestione dei log e gli strumenti di generazione di report in Linux:

  1. 4 Buoni strumenti di monitoraggio e gestione dei log open source per Linux
  2. SARG: generatore di report di analisi Squid e strumento di monitoraggio della larghezza di banda Internet
  3. Smem: riporta il consumo di memoria per processo e per utente in Linux
  4. Come gestire i registri di sistema (configurare, ruotare e importare nel database)

In questo tutorial, abbiamo mostrato come generare report di riepilogo dai file di registro di controllo in RHEL/CentOS/Fedora. Utilizza la sezione commenti qui sotto per porre domande o condividere eventuali pensieri riguardanti questa guida.

Successivamente, mostreremo come controllare un processo specifico utilizzando l'utilità "autrace", che fino ad allora resterà bloccata su Tecmint.