Hoe aureport-auditlogboekrapporten te maken in Centos 7

Constante monitoring van onze servers garandeert te allen tijde hun integriteit en functionaliteit, vooral als het gaat om servers in productieve omgevingen. Het periodiek uitvoeren van beveiligingsaudits op het systeem garandeert dat we up-to-date zijn en een stap voor zijn in het licht van mogelijke bedreigingen en kwetsbaarheden die het systeem kan hebben.

Audits moeten als een frequente taak worden beschouwd binnen het IT-gebied om in de toekomst veel radicalere acties te voorkomen die van invloed zijn op gebruikersrollen, services of elementen.

Nu zal Solvetic aangeven hoe we auditrapporten kunnen genereren die essentieel zijn voor managementvergaderingen, ondersteuning of logboeken van gebeurtenissen die plaatsvinden op een server, in dit geval hebben we het over CentOS 7.

Wat is aureport?Het hulpprogramma aureport is ontworpen om ons in staat te stellen concrete en vitale rapporten te genereren over de gebeurtenissen die zijn vastgelegd in de auditlogbestanden.

Standaard worden alle audit.log-bestanden in de / var / log / audit / directory opgevraagd om het rapport te maken. In het rapport zal het mogelijk zijn om een ​​ander bestand op te geven om het rapport op uit te voeren door het commando aureport -if bestandsnaam te gebruiken.

Aureport biedt ons verschillende alternatieven voor het gebruik ervan en elk geeft ons een ander resultaat, deze opties zijn als volgt.

1. Maak een rapport over de sleutels van de auditregel aureport

Als we de parameter -k gebruiken, zal aureport een rapport produceren over alle sleutels die zijn gedefinieerd in de auditregels.

De uitvoering ervan is:

 aureport -k

Het resultaat is het volgende:

Daar kunnen we gedetailleerde informatie zien die de datum, tijd en gebeurtenis aangeeft. Het is mogelijk om de interpretatie van numerieke entiteiten in tekst in te schakelen (zoals het converteren van UID naar accountnaam) met behulp van de -i optie:

 aureport -k -i

2. Maak een rapport over authenticatiepogingen in het aureport-systeem

Het is mogelijk dat we om veiligheids- en controleredenen een rapport nodig hebben over alle gebeurtenissen met betrekking tot de authenticatiepogingen van alle gebruikers in CentOS 7, hiervoor gebruiken we de parameter -au.

 aureport -au aureport -au -i

Het resultaat zal het volgende zijn:

3. Rapporten genereren die zijn gekoppeld aan aureport-aanmeldingen

Dankzij de parameter -l zal het mogelijk zijn om aureport te vertellen om een ​​rapport te genereren van alle logins in CentOS 7.
We zullen het volgende uitvoeren:

 aureport -l

Het verkregen resultaat is het volgende:

We kunnen in detail de datum en tijd van aanmeldingen zien.

4. Genereer een rapport van mislukte gebeurtenissen in het aureport-systeem

Als we een rapport willen krijgen over de gebeurtenissen met een fout in CentOS 7, wat praktisch is om in detail te weten welke gebeurtenis en wanneer deze is gegenereerd, kunnen we het volgende uitvoeren:

 aureport -mislukt

We kunnen de categorieën van evenementen zien met het respectieve bedrag.

5. Genereer een rapport voor een bepaalde periode aureport

Met aureport is het mogelijk om rapportages te genereren voor een bepaalde periode; De parameter -ts definieert de startdatum en -tijd, en de -te waarde stelt een einddatum en -tijd in.

Daarnaast is het mogelijk om woorden als nu, recent, vandaag, gisteren, deze week, deze week, deze maand, dit jaar te gebruiken in plaats van de realtime formaten.

We kunnen lijnen uitvoeren als:

 aureport -ts 20/09/2017 08:00:00 -te nu --samenvatting -i aureport -ts vandaag -te nu --samenvatting -i

6. Rapporten genereren met een ander logbestand aureport

Het is mogelijk om een ​​rapport te maken met een ander bestand dan de standaard logbestanden in de / var / log / audit directory, hiervoor moeten we de -if vlag gebruiken om naar het bestand te verwijzen:

 aureport -l -if /var/log/solvetic/hosts/node3.log

Andere nuttige parameters om te gebruiken met aureport zijn:

Rapporten over authenticatiepogingen

 -au, --auth

Rapporteren over avc-berichten

 -a, --avc

Configuratiewijzigingen melden

 -c, --config

Rapporteren over crypto-evenementen

 -cr, --crypto

Rapporteren over evenementen

 -e, --gebeurtenis

Rapporteren over bestanden

 -f, --bestand

Selecteer mislukte gebeurtenissen om in rapporten te verwerken

 --mislukt

Rapporten over hosts

 -h, --host

Drukt een samenvatting af van de uit te voeren opdracht

 --helpen

Numerieke entiteiten in tekst interpreterenUid wordt bijvoorbeeld een accountnaam. De conversie wordt gedaan met behulp van de huidige bronnen van de machine waarop de zoekopdracht wordt uitgevoerd

 -i, --interpret

.

Maakt gebruik van het aangegeven bestandDit helpt bij de analyse wanneer records naar een andere machine zijn verplaatst of slechts een deel van een record is opgeslagen.

 -if, --invoerbestand

Gebruikt de locatie van het auditd.conf-logbestand als invoer voor analyseDit is nodig als u aureport van een cronjob gebruikt.

 --invoer-logboeken

Rapporten over controleregelsleutels

 -k, --toets

Rapporten over aanmeldingen

 -l, --login

Rapporteren over accountwijzigingen

 -m, --mods

Rapporten over verplichte toegangscontrole (MAC) gebeurtenissen

 -ma, --mac

Rapporten over anomaliegebeurtenissenDeze gebeurtenissen omvatten NIC's die promiscue en segfaulting-programma's gaan.

 -n, --anomalie

Hiermee kunt u de gebeurtenissen selecteren die afkomstig zijn uit de reeks knooppuntnamen om in rapporten te verwerkenDe standaardinstelling is om alle knooppunten op te nemen. Meerdere knooppunten zijn toegestaan.

 --knooppunt knooppuntnaam

Rapporteren over huidige processen

 -p, --pid

Rapporten over reacties op faalgebeurtenissen

 -r, --antwoord

Rapporteren over syscalls

 -s, --syscall

Selecteer alleen succesvolle gebeurtenissen voor verwerking in rapportenDe standaardinstelling is succesvol.

 --succes

Voert een samenvattend rapport uit met een totaal van de belangrijkste rapportitems

 --vat samen

Deze optie geeft een rapport weer van de begin- en eindtijd van elk record.

 -t, --log

Zoekt naar evenementen met tijdstempels die gelijk zijn aan of ouder zijn dan de opgegeven eindtijd.Het formaat van de eindtijd is afhankelijk van uw landinstelling. Als de datum wordt weggelaten, wordt vandaag aangenomen. Als tijd wordt weggelaten, wordt nu aangenomen. We kunnen de 24-uurs klok gebruiken in plaats van AM of PM om de tijd te specificeren. Onthoud dat het mogelijk is om woorden te gebruiken als: nu, recent, vandaag, gisteren, deze week, week, deze maand, dit jaar. Vandaag betekent nu beginnen. Recent is 10 minuten geleden. Gisteren is het 1 seconde na middernacht de dag ervoor. Deze week betekent starten 1 seconde na middernacht op de 0e dag van de week bepaald door uw locatie (zie lokale tijd). Deze maand betekent 1 seconde na middernacht op de 1e van de maand. Dit jaar betekent 1 seconde na middernacht op de eerste dag van de eerste maand.

 -te, --end [einddatum] [eindtijd]

Informeert over terminals

 -tm, --terminal

Zoekt naar evenementen met tijdstempels gelijk aan of later dan de opgegeven eindtijdHet formaat van de eindtijd is afhankelijk van uw landinstelling. Als de datum wordt weggelaten, wordt vandaag aangenomen. Als de tijd wordt weggelaten, wordt uitgegaan van middernacht. We kunnen de 24-uurs klok gebruiken in plaats van AM of PM om de tijd te specificeren.

 -ts, --start [startdatum] [start]

Informeer over gebruikers

 -u, --gebruiker

Druk de versie af en sluit het hulpprogramma af

 -v, --versie

Rapporteren over uitvoerbare bestanden

 -x, --uitvoerbaar

Ten slotte, om algemene hulp van het hulpprogramma te krijgen, kunnen we man aureport uitvoeren. Op deze manier kunnen we zien hoe dit hulpprogramma ons in staat stelt gedetailleerde rapporten te genereren over alle auditproblemen in Linux-omgevingen, in dit geval CentOS 7, en dus een veel completer beheer van servergebeurtenissen te voeren.