Website-Suche

So fragen Sie Audit-Protokolle mit dem Tool „ausearch“ unter CentOS/RHEL ab

In unserem letzten Artikel haben wir erklärt, wie man RHEL- oder CentOS-Systeme mit dem Dienstprogramm auditd prüft. Das Audit-System (auditd) ist ein umfassendes Protokollierungssystem und verwendet kein Syslog. Es verfügt außerdem über ein Toolset zur Verwaltung des Kernel-Audit-Systems sowie zur Suche und Erstellung von Berichten anhand der Informationen in den Protokolldateien.

In diesem Tutorial erklären wir, wie Sie mit dem ausearch-Tool Daten aus auditd-Protokolldateien auf RHEL- und CentOS-basierten Linux-Distributionen abrufen.

Lesen Sie auch: 4 gute Open-Source-Tools zur Protokollüberwachung und -verwaltung für Linux

Wie bereits erwähnt, verfügt das Auditing-System über einen User-Space-Audit-Daemon (auditd), der sicherheitsrelevante Informationen basierend auf vorkonfigurierten Regeln vom Kernel sammelt erzeugt Einträge in einer Protokolldatei.

Was ist ausarch?

aussearch ist ein einfaches Befehlszeilentool, mit dem die Protokolldateien des Audit-Daemons anhand von Ereignissen und verschiedenen Suchkriterien wie Ereignis-ID, Schlüssel-ID, CPU-Architektur, Befehlsname, Hostname, Gruppenname oder Gruppen-ID durchsucht werden , Systemaufrufe, Nachrichten und mehr. Es akzeptiert auch Rohdaten von stdin.

Standardmäßig fragt aussearch die Datei /var/log/audit/audit.log ab, die Sie wie jede andere Textdatei anzeigen können.

cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less

Auf dem Screenshot oben können Sie viele Daten aus der Protokolldatei sehen, was es schwierig macht, bestimmte interessante Informationen zu erhalten.

Daher benötigen Sie aussearch, das mithilfe der folgenden Syntax eine leistungsfähigere und effizientere Suche nach Informationen ermöglicht.

ausearch [options]

Überprüfen Sie die laufenden Prozessprotokolle in der Auditd-Protokolldatei

Das Flag -p wird zum Übergeben einer Prozess-ID verwendet.

ausearch -p 2317

Überprüfen Sie fehlgeschlagene Anmeldeversuche in der Auditd-Protokolldatei

Hier müssen Sie die Option -m verwenden, um bestimmte Nachrichten zu identifizieren, und -sv, um den Erfolgswert zu definieren.

ausearch -m USER_LOGIN -sv no

Suchen Sie nach Benutzeraktivitäten in der Auditd-Protokolldatei

Das -ua wird verwendet, um einen Benutzernamen zu übergeben.

ausearch -ua tecmint
OR
ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Um Aktionen abzufragen, die von einem bestimmten Benutzer in einem bestimmten Zeitraum ausgeführt wurden, verwenden Sie -ts für Startdatum/-uhrzeit und -te für die Angabe von Enddatum/-uhrzeit wie folgt ( Beachten Sie, dass Sie Wörter wie „jetzt“, „aktuell“, „heute“, „gestern“, „diese Woche“, „vor einer Woche“, „dieser Monat“, „dieses Jahr“ sowie „Checkpoint“ anstelle tatsächlicher Zeitformate verwenden können.

ausearch -ua tecmint -ts yesterday -te now -i

Weitere Beispiele zur Suche nach Aktionen eines bestimmten Benutzers im System.

ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i

Finden Sie Änderungen an Benutzerkonten, Gruppen und Rollen in Auditd-Protokollen

Wenn Sie alle Systemänderungen im Zusammenhang mit Benutzerkonten, Gruppen und Rollen überprüfen möchten; Geben Sie verschiedene durch Kommas getrennte Nachrichtentypen wie im folgenden Befehl an (achten Sie auf die durch Kommas getrennte Liste und lassen Sie kein Leerzeichen zwischen einem Komma und dem nächsten Element):

ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Durchsuchen Sie die Auditd-Protokolldatei anhand des Schlüsselwerts

Beachten Sie die nachstehende Prüfregel, die alle Versuche protokolliert, auf die Benutzerkontendatenbank /etc/passwd zuzugreifen oder diese zu ändern.

auditctl -w /etc/passwd -p rwa -k passwd_changes

Versuchen Sie nun, die obige Datei zum Bearbeiten zu öffnen und wie folgt zu schließen.

vi /etc/passwd

Nur weil Sie wissen, dass darüber ein Protokolleintrag aufgezeichnet wurde, können Sie die letzten Teile der Protokolldatei möglicherweise mit dem Befehl tail wie folgt anzeigen:

tail /var/log/audit/audit.log

Wenn kürzlich mehrere andere Ereignisse aufgezeichnet wurden, wäre es sehr schwierig, die spezifischen Informationen zu finden. Mit aussearch können Sie jedoch das Flag -k mit dem von Ihnen angegebenen Schlüsselwert übergeben in der Prüfregel, um alle Protokollmeldungen zu Ereignissen im Zusammenhang mit dem Zugriff oder der Änderung der Datei /etc/passwd anzuzeigen.

Dadurch werden auch die Konfigurationsänderungen angezeigt, die zur Definition der Prüfregeln vorgenommen wurden.

ausearch -k passwd_changes | less

Weitere Informationen und Nutzungsmöglichkeiten finden Sie auf der Manpage von asearch:

man ausearch

Um mehr über Linux-Systemüberwachung und Protokollverwaltung zu erfahren, lesen Sie die folgenden verwandten Artikel.

  1. Petiti – Ein Open-Source-Protokollanalysetool für Linux-SysAdmins
  2. Überwachen Sie Serverprotokolle in Echtzeit mit dem Tool „Log.io“ auf RHEL/CentOS 7/6
  3. So richten Sie die Protokollrotation mit Logrotate unter Linux ein und verwalten sie
  4. lnav – Überwachen und analysieren Sie Apache-Protokolle von einem Linux-Terminal aus

In diesem Tutorial haben wir beschrieben, wie Sie mit aussearch Daten aus einer auditd-Protokolldatei unter RHEL und CentOS abrufen. Wenn Sie Fragen oder Gedanken zum Teilen haben, nutzen Sie den Kommentarbereich, um uns zu erreichen.

In unserem nächsten Artikel erklären wir, wie Sie mit aureport in RHEL/CentOS/Fedora Berichte aus Audit-Protokolldateien erstellen.