So erstellen Sie Berichte aus Audit-Protokollen mit „aureport“ unter CentOS/RHEL

Dieser Artikel ist unsere fortlaufende Reihe zum Thema Linux-Auditing. In unseren letzten beiden Artikeln haben wir erklärt, wie man Linux-Systeme (CentOS und RHEL) installiert und prüft und wie man Protokolle abfragt asearch-Dienstprogramm.

In diesem dritten Teil erklären wir, wie Sie mit dem Dienstprogramm aureport in CentOS- und RHEL-basierten Linux-Distributionen Berichte aus Audit-Protokolldateien erstellen.

Lesen Sie auch: So erstellen und liefern Sie Systemaktivitätsberichte mithilfe von Linux-Toolsets

Was ist Aureport?

aureport ist ein Befehlszeilendienstprogramm zum Erstellen nützlicher zusammenfassender Berichte aus den in /var/log/audit/ gespeicherten Audit-Protokolldateien. Wie aussearch akzeptiert es auch Rohprotokolldaten von stdin.

Es ist ein benutzerfreundliches Dienstprogramm. Übergeben Sie einfach eine Option für einen bestimmten Berichtstyp, den Sie benötigen, wie in den folgenden Beispielen gezeigt.

Erstellen Sie einen Bericht zu Prüfregelschlüsseln

Der Befehl aurepot erstellt unter Verwendung des Flags -k einen Bericht über alle Schlüssel, die Sie in Prüfregeln angegeben haben.

aureport -k 

Sie können die Interpretation numerischer Entitäten in Text aktivieren (z. B. UID in Kontonamen umwandeln), indem Sie die Option -i verwenden.

aureport -k -i

Erstellen Sie einen Bericht über versuchte Authentifizierungen

Wenn Sie einen Bericht über alle Ereignisse im Zusammenhang mit Authentifizierungsversuchen für alle Benutzer benötigen, verwenden Sie die Option -au.

aureport -au 
OR
aureport -au -i

Erstellen Sie einen Bericht über Anmeldungen

Die Option -l weist aureport an, wie folgt einen Bericht über alle Anmeldungen zu erstellen.

Melden Sie fehlgeschlagene Ereignisse im System

Der folgende Befehl zeigt, wie alle fehlgeschlagenen Ereignisse gemeldet werden.

aureport --failed

Erstellen Sie einen zusammenfassenden Bericht für einen bestimmten Zeitraum

Es ist auch möglich, Berichte für einen bestimmten Zeitraum zu erstellen; -ts definiert das Startdatum/-uhrzeit und -te legt ein Enddatum/-uhrzeit fest. Sie können anstelle tatsächlicher Zeitformate auch Wörter wie „jetzt“, „aktuell“, „heute“, „gestern“, „diese Woche“, „vor einer Woche“, „dieser Monat“, „dieses Jahr“ verwenden.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i 

Erstellen Sie einen Bericht aus einer anderen Audit-Protokolldatei

Wenn Sie einen Bericht aus einer anderen Datei als den Standardprotokolldateien im Verzeichnis /var/log/audit erstellen möchten, verwenden Sie das Flag -if, um die Datei anzugeben.

Dieser Befehl meldet alle in /var/log/tecmint/hosts/node1.log aufgezeichneten Anmeldungen.

aureport -l -if /var/log/tecmint/hosts/node1.log 

Alle Optionen und weitere Informationen finden Sie in der Manpage aureport.

man aureport

Nachfolgend finden Sie eine Liste von Artikeln zum Thema Protokollverwaltung und Berichtserstellungstools unter Linux:

1. 4 gute Open-Source-Tools zur Protokollüberwachung und -verwaltung für Linux
2. SARG – Squid Analysis Report Generator und Tool zur Überwachung der Internetbandbreite
3. Smem – Meldet den Speicherverbrauch pro Prozess und pro Benutzer unter Linux
4. So verwalten Sie Systemprotokolle (konfigurieren, rotieren und in die Datenbank importieren)

In diesem Tutorial haben wir gezeigt, wie man zusammenfassende Berichte aus Audit-Protokolldateien in RHEL/CentOS/Fedora generiert. Nutzen Sie den Kommentarbereich unten, um Fragen zu stellen oder Ihre Gedanken zu diesem Leitfaden mitzuteilen.

Als Nächstes zeigen wir, wie Sie einen bestimmten Prozess mit dem Dienstprogramm „autrace“ überwachen. Bleiben Sie bis dahin an Tecmint gebunden.