ค้นหาเว็บไซต์

วิธีสร้างรายงานจากบันทึกการตรวจสอบโดยใช้ 'aureport' บน CentOS/RHEL


บทความนี้เป็นบทความต่อเนื่องของเราเกี่ยวกับการตรวจสอบ Linux ในสองบทความล่าสุด เราได้อธิบายวิธีการติดตั้งและตรวจสอบระบบ Linux (CentOS และ RHEL) และวิธีการสืบค้นบันทึกโดยใช้ ยูทิลิตี้การตรวจสอบ

ในส่วนที่สามนี้ เราจะอธิบายวิธีสร้างรายงานจากไฟล์บันทึกการตรวจสอบโดยใช้ยูทิลิตี้ aureport ในการกระจาย Linux ที่ใช้ CentOS และ RHEL

อ่านเพิ่มเติม: วิธีสร้างและจัดส่งรายงานกิจกรรมของระบบโดยใช้ชุดเครื่องมือ Linux

ออเรพอร์ตคืออะไร?

aureport เป็นโปรแกรมอรรถประโยชน์บรรทัดคำสั่งที่ใช้สำหรับสร้างรายงานสรุปที่มีประโยชน์จากไฟล์บันทึกการตรวจสอบที่จัดเก็บไว้ใน /var/log/audit/ เช่นเดียวกับ ausearch ก็ยอมรับข้อมูลบันทึกดิบจาก stdin ด้วย

มันเป็นยูทิลิตี้ที่ใช้งานง่าย เพียงส่งตัวเลือกสำหรับรายงานประเภทเฉพาะที่คุณต้องการ ดังที่แสดงในตัวอย่างด้านล่าง

สร้างรายงานเกี่ยวกับคีย์กฎการตรวจสอบ

คำสั่ง aurepot จะสร้างรายงานเกี่ยวกับคีย์ทั้งหมดที่คุณระบุไว้ในกฎการตรวจสอบ โดยใช้แฟล็ก -k

aureport -k 

คุณสามารถเปิดใช้งานการตีความเอนทิตีตัวเลขเป็นข้อความ (เช่น แปลง UID เป็นชื่อบัญชี) โดยใช้ตัวเลือก -i

aureport -k -i

สร้างรายงานเกี่ยวกับความพยายามในการตรวจสอบสิทธิ์

หากคุณต้องการรายงานเกี่ยวกับเหตุการณ์ทั้งหมดที่เกี่ยวข้องกับความพยายามในการตรวจสอบสิทธิ์สำหรับผู้ใช้ทั้งหมด ให้ใช้ตัวเลือก -au

aureport -au 
OR
aureport -au -i

จัดทำรายงานเกี่ยวกับการเข้าสู่ระบบ

ตัวเลือก -l บอกให้ aureport สร้างรายงานการเข้าสู่ระบบทั้งหมดดังนี้

รายงานเหตุการณ์ที่ล้มเหลวบนระบบ

คำสั่งต่อไปนี้แสดงวิธีการรายงานเหตุการณ์ที่ล้มเหลวทั้งหมด

aureport --failed

สร้างรายงานสรุปตามระยะเวลาที่กำหนด

นอกจากนี้ยังสามารถสร้างรายงานตามระยะเวลาที่กำหนดได้อีกด้วย -ts กำหนดวันที่/เวลาเริ่มต้น และ -te กำหนดวันที่/เวลาสิ้นสุด คุณยังสามารถใช้คำเช่น now, ล่าสุด, วันนี้, เมื่อวาน, สัปดาห์นี้, สัปดาห์ที่แล้ว, เดือนนี้, ปีนี้ แทนรูปแบบเวลาจริง

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i 

สร้างรายงานจากไฟล์บันทึกการตรวจสอบที่แตกต่างกัน

หากคุณต้องการสร้างรายงานจากไฟล์อื่นที่ไม่ใช่ไฟล์บันทึกเริ่มต้นในไดเร็กทอรี /var/log/audit ให้ใช้แฟล็ก -if เพื่อระบุไฟล์

คำสั่งนี้รายงานการเข้าสู่ระบบทั้งหมดที่บันทึกไว้ใน /var/log/tecmint/hosts/node1.log

aureport -l -if /var/log/tecmint/hosts/node1.log 

คุณสามารถค้นหาตัวเลือกทั้งหมดและข้อมูลเพิ่มเติมได้ในหน้าคู่มือ aureport

man aureport

ด้านล่างนี้เป็นรายการบทความเกี่ยวกับการจัดการบันทึกและเครื่องมือสร้างรายงานใน Linux:

  1. 4 เครื่องมือตรวจสอบและจัดการบันทึกโอเพ่นซอร์สที่ดีสำหรับ Linux
  2. SARG – เครื่องมือสร้างรายงานการวิเคราะห์ Squid และเครื่องมือตรวจสอบแบนด์วิธอินเทอร์เน็ต
  3. Smem – รายงานการใช้หน่วยความจำต่อกระบวนการและพื้นฐานต่อผู้ใช้ใน Linux
  4. วิธีจัดการบันทึกของระบบ (กำหนดค่า หมุนเวียน และนำเข้าสู่ฐานข้อมูล)

ในบทช่วยสอนนี้ เราได้แสดงวิธีสร้างรายงานสรุปจากไฟล์บันทึกการตรวจสอบใน RHEL/CentOS/Fedora ใช้ส่วนความคิดเห็นด้านล่างเพื่อถามคำถามหรือแบ่งปันความคิดเกี่ยวกับคู่มือนี้

ต่อไป เราจะแสดงวิธีการตรวจสอบกระบวนการเฉพาะโดยใช้ยูทิลิตี 'autrace' จนกว่าจะถึงตอนนั้น ให้ล็อก Tecmint ไว้