Ricerca nel sito web

Come eseguire query sui log di controllo utilizzando lo strumento "ausearch" su CentOS/RHEL

Nel nostro ultimo articolo, abbiamo spiegato come controllare il sistema RHEL o CentOS utilizzando l'utilità auditd. Il sistema di controllo (auditd) è un sistema di registrazione completo e non utilizza syslog per questo motivo. Viene inoltre fornito con un set di strumenti per la gestione del sistema di controllo del kernel, nonché per la ricerca e la produzione di report dalle informazioni nei file di registro.

In questo tutorial, spiegheremo come utilizzare lo strumento ausearch per recuperare dati dai file di registro auditd su distribuzioni Linux basate su RHEL e CentOS.

Leggi anche: 4 buoni strumenti di monitoraggio e gestione dei log open source per Linux

Come accennato in precedenza, il sistema di controllo ha un demone di controllo user-space (auditd) che raccoglie informazioni relative alla sicurezza in base a regole preconfigurate, dal kernel e genera voci in un file di registro.

Cos'è AuSearch?

ausearch è un semplice strumento da riga di comando utilizzato per cercare i file di registro del demone di controllo in base a eventi e diversi criteri di ricerca come identificatore di evento, identificatore di chiave, architettura della CPU, nome di comando, nome host, nome di gruppo o ID di gruppo , chiamate di sistema, messaggi e altro ancora. Accetta anche dati grezzi da stdin.

Per impostazione predefinita, ausearch interroga il file /var/log/audit/audit.log, che puoi visualizzare proprio come qualsiasi altro file di testo.

cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less

Dallo screenshot qui sopra, puoi vedere molti dati dal file di registro che rendono difficile ottenere informazioni di interesse specifico.

Pertanto hai bisogno di ausearch, che consente la ricerca di informazioni in un modo più potente ed efficiente utilizzando la seguente sintassi.

ausearch [options]

Controllare i registri dei processi in esecuzione nel file di registro di Auditd

Il flag -p viene utilizzato per passare un ID di processo.

ausearch -p 2317

Controllare i tentativi di accesso non riusciti nel file di registro Auditd

Qui, devi utilizzare l'opzione -m per identificare messaggi specifici e -sv per definire il valore di successo.

ausearch -m USER_LOGIN -sv no

Trova l'attività dell'utente nel file di registro di Audit

-ua viene utilizzato per trasmettere un nome utente.

ausearch -ua tecmint
OR
ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Per interrogare le azioni eseguite da un determinato utente in un determinato periodo di tempo, utilizzare -ts per data/ora di inizio e -te per specificare data/ora di fine come segue ( tieni presente che puoi usare parole come adesso, recente, oggi, ieri, questa settimana, settimana fa, questo mese, quest'anno così come checkpoint invece dei formati dell'ora effettiva).

ausearch -ua tecmint -ts yesterday -te now -i

Altri esempi sulla ricerca di azioni da parte di un determinato utente sul sistema.

ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i

Trova modifiche ad account utente, gruppi e ruoli nei registri di controllo

Se desideri rivedere tutte le modifiche al sistema che riguardano account utente, gruppi e ruoli; specifica vari tipi di messaggi separati da virgole come nel comando seguente (fai attenzione all'elenco separato da virgole, non lasciare spazi tra una virgola e l'elemento successivo):

ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Cerca il file di registro di audit utilizzando il valore chiave

Considera la regola di controllo di seguito che registrerà qualsiasi tentativo di accesso o modifica al database degli account utente /etc/passwd.

auditctl -w /etc/passwd -p rwa -k passwd_changes

Ora prova ad aprire il file sopra per modificarlo e chiuderlo, come segue.

vi /etc/passwd

Solo perché sai che è stata registrata una voce di registro a riguardo, potresti visualizzare le ultime parti del file di registro con il comando tail come segue:

tail /var/log/audit/audit.log

Cosa succede se di recente sono stati registrati diversi altri eventi? Trovare informazioni specifiche sarebbe molto difficile, ma utilizzando ausearch, puoi passare il flag -k con il valore chiave specificato nella regola di controllo per visualizzare tutti i messaggi di registro riguardanti gli eventi relativi all'accesso o alla modifica del file /etc/passwd.

Verranno inoltre visualizzate le modifiche alla configurazione apportate per la definizione delle regole di controllo.

ausearch -k passwd_changes | less

Per ulteriori informazioni e opzioni di utilizzo, leggere la pagina man di ausearch:

man ausearch

Per saperne di più sul controllo del sistema Linux e sulla gestione dei log, leggi i seguenti articoli correlati.

  1. Petiti: uno strumento di analisi dei log open source per amministratori di sistema Linux
  2. Monitora i log del server in tempo reale con lo strumento "Log.io" su RHEL/CentOS 7/6
  3. Come impostare e gestire la rotazione dei registri utilizzando Logrotate in Linux
  4. lnav: guarda e analizza i registri Apache da un terminale Linux

In questo tutorial, abbiamo descritto come utilizzare ausearch per recuperare dati da un file di registro auditd su RHEL e CentOS. Se hai domande o pensieri da condividere, utilizza la sezione commenti per contattarci.

Nel nostro prossimo articolo, spiegheremo come creare report dai file di registro di controllo utilizzando aureport in RHEL/CentOS/Fedora.