วิธีสร้างรายงานจากบันทึกการตรวจสอบโดยใช้ 'aureport' บน CentOS/RHEL
บทความนี้เป็นบทความต่อเนื่องของเราเกี่ยวกับการตรวจสอบ Linux ในสองบทความล่าสุด เราได้อธิบายวิธีการติดตั้งและตรวจสอบระบบ Linux (CentOS และ RHEL) และวิธีการสืบค้นบันทึกโดยใช้ ยูทิลิตี้การตรวจสอบ
ในส่วนที่สามนี้ เราจะอธิบายวิธีสร้างรายงานจากไฟล์บันทึกการตรวจสอบโดยใช้ยูทิลิตี้ aureport ในการกระจาย Linux ที่ใช้ CentOS และ RHEL
อ่านเพิ่มเติม: วิธีสร้างและจัดส่งรายงานกิจกรรมของระบบโดยใช้ชุดเครื่องมือ Linux
ออเรพอร์ตคืออะไร?
aureport เป็นโปรแกรมอรรถประโยชน์บรรทัดคำสั่งที่ใช้สำหรับสร้างรายงานสรุปที่มีประโยชน์จากไฟล์บันทึกการตรวจสอบที่จัดเก็บไว้ใน /var/log/audit/ เช่นเดียวกับ ausearch ก็ยอมรับข้อมูลบันทึกดิบจาก stdin ด้วย
มันเป็นยูทิลิตี้ที่ใช้งานง่าย เพียงส่งตัวเลือกสำหรับรายงานประเภทเฉพาะที่คุณต้องการ ดังที่แสดงในตัวอย่างด้านล่าง
สร้างรายงานเกี่ยวกับคีย์กฎการตรวจสอบ
คำสั่ง aurepot จะสร้างรายงานเกี่ยวกับคีย์ทั้งหมดที่คุณระบุไว้ในกฎการตรวจสอบ โดยใช้แฟล็ก -k
aureport -k
คุณสามารถเปิดใช้งานการตีความเอนทิตีตัวเลขเป็นข้อความ (เช่น แปลง UID เป็นชื่อบัญชี) โดยใช้ตัวเลือก -i
aureport -k -i
สร้างรายงานเกี่ยวกับความพยายามในการตรวจสอบสิทธิ์
หากคุณต้องการรายงานเกี่ยวกับเหตุการณ์ทั้งหมดที่เกี่ยวข้องกับความพยายามในการตรวจสอบสิทธิ์สำหรับผู้ใช้ทั้งหมด ให้ใช้ตัวเลือก -au
aureport -au
OR
aureport -au -i
จัดทำรายงานเกี่ยวกับการเข้าสู่ระบบ
ตัวเลือก -l
บอกให้ aureport สร้างรายงานการเข้าสู่ระบบทั้งหมดดังนี้
รายงานเหตุการณ์ที่ล้มเหลวบนระบบ
คำสั่งต่อไปนี้แสดงวิธีการรายงานเหตุการณ์ที่ล้มเหลวทั้งหมด
aureport --failed
สร้างรายงานสรุปตามระยะเวลาที่กำหนด
นอกจากนี้ยังสามารถสร้างรายงานตามระยะเวลาที่กำหนดได้อีกด้วย -ts
กำหนดวันที่/เวลาเริ่มต้น และ -te
กำหนดวันที่/เวลาสิ้นสุด คุณยังสามารถใช้คำเช่น now, ล่าสุด, วันนี้, เมื่อวาน, สัปดาห์นี้, สัปดาห์ที่แล้ว, เดือนนี้, ปีนี้ แทนรูปแบบเวลาจริง
aureport -ts 09/19/2017 15:20:00 -te now --summary -i
OR
aureport -ts yesterday -te now --summary -i
สร้างรายงานจากไฟล์บันทึกการตรวจสอบที่แตกต่างกัน
หากคุณต้องการสร้างรายงานจากไฟล์อื่นที่ไม่ใช่ไฟล์บันทึกเริ่มต้นในไดเร็กทอรี /var/log/audit ให้ใช้แฟล็ก -if
เพื่อระบุไฟล์
คำสั่งนี้รายงานการเข้าสู่ระบบทั้งหมดที่บันทึกไว้ใน /var/log/tecmint/hosts/node1.log
aureport -l -if /var/log/tecmint/hosts/node1.log
คุณสามารถค้นหาตัวเลือกทั้งหมดและข้อมูลเพิ่มเติมได้ในหน้าคู่มือ aureport
man aureport
ด้านล่างนี้เป็นรายการบทความเกี่ยวกับการจัดการบันทึกและเครื่องมือสร้างรายงานใน Linux:
- 4 เครื่องมือตรวจสอบและจัดการบันทึกโอเพ่นซอร์สที่ดีสำหรับ Linux
- SARG – เครื่องมือสร้างรายงานการวิเคราะห์ Squid และเครื่องมือตรวจสอบแบนด์วิธอินเทอร์เน็ต
- Smem – รายงานการใช้หน่วยความจำต่อกระบวนการและพื้นฐานต่อผู้ใช้ใน Linux
- วิธีจัดการบันทึกของระบบ (กำหนดค่า หมุนเวียน และนำเข้าสู่ฐานข้อมูล)
ในบทช่วยสอนนี้ เราได้แสดงวิธีสร้างรายงานสรุปจากไฟล์บันทึกการตรวจสอบใน RHEL/CentOS/Fedora ใช้ส่วนความคิดเห็นด้านล่างเพื่อถามคำถามหรือแบ่งปันความคิดเกี่ยวกับคู่มือนี้
ต่อไป เราจะแสดงวิธีการตรวจสอบกระบวนการเฉพาะโดยใช้ยูทิลิตี 'autrace' จนกว่าจะถึงตอนนั้น ให้ล็อก Tecmint ไว้