So fragen Sie Audit-Protokolle mit dem Tool „ausearch“ unter CentOS/RHEL ab
In unserem letzten Artikel haben wir erklärt, wie man RHEL- oder CentOS-Systeme mit dem Dienstprogramm auditd prüft. Das Audit-System (auditd) ist ein umfassendes Protokollierungssystem und verwendet kein Syslog. Es verfügt außerdem über ein Toolset zur Verwaltung des Kernel-Audit-Systems sowie zur Suche und Erstellung von Berichten anhand der Informationen in den Protokolldateien.
In diesem Tutorial erklären wir, wie Sie mit dem ausearch-Tool Daten aus auditd-Protokolldateien auf RHEL- und CentOS-basierten Linux-Distributionen abrufen.
Lesen Sie auch: 4 gute Open-Source-Tools zur Protokollüberwachung und -verwaltung für Linux
Wie bereits erwähnt, verfügt das Auditing-System über einen User-Space-Audit-Daemon (auditd), der sicherheitsrelevante Informationen basierend auf vorkonfigurierten Regeln vom Kernel sammelt erzeugt Einträge in einer Protokolldatei.
Was ist ausarch?
aussearch ist ein einfaches Befehlszeilentool, mit dem die Protokolldateien des Audit-Daemons anhand von Ereignissen und verschiedenen Suchkriterien wie Ereignis-ID, Schlüssel-ID, CPU-Architektur, Befehlsname, Hostname, Gruppenname oder Gruppen-ID durchsucht werden , Systemaufrufe, Nachrichten und mehr. Es akzeptiert auch Rohdaten von stdin.
Standardmäßig fragt aussearch die Datei /var/log/audit/audit.log ab, die Sie wie jede andere Textdatei anzeigen können.
cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less
Auf dem Screenshot oben können Sie viele Daten aus der Protokolldatei sehen, was es schwierig macht, bestimmte interessante Informationen zu erhalten.
Daher benötigen Sie aussearch, das mithilfe der folgenden Syntax eine leistungsfähigere und effizientere Suche nach Informationen ermöglicht.
ausearch [options]
Überprüfen Sie die laufenden Prozessprotokolle in der Auditd-Protokolldatei
Das Flag -p
wird zum Übergeben einer Prozess-ID verwendet.
ausearch -p 2317
Überprüfen Sie fehlgeschlagene Anmeldeversuche in der Auditd-Protokolldatei
Hier müssen Sie die Option -m
verwenden, um bestimmte Nachrichten zu identifizieren, und -sv
, um den Erfolgswert zu definieren.
ausearch -m USER_LOGIN -sv no
Suchen Sie nach Benutzeraktivitäten in der Auditd-Protokolldatei
Das -ua wird verwendet, um einen Benutzernamen zu übergeben.
ausearch -ua tecmint
OR
ausearch -ua tecmint -i # enable interpreting of numeric entities into text.
Um Aktionen abzufragen, die von einem bestimmten Benutzer in einem bestimmten Zeitraum ausgeführt wurden, verwenden Sie -ts
für Startdatum/-uhrzeit und -te
für die Angabe von Enddatum/-uhrzeit wie folgt ( Beachten Sie, dass Sie Wörter wie „jetzt“, „aktuell“, „heute“, „gestern“, „diese Woche“, „vor einer Woche“, „dieser Monat“, „dieses Jahr“ sowie „Checkpoint“ anstelle tatsächlicher Zeitformate verwenden können.
ausearch -ua tecmint -ts yesterday -te now -i
Weitere Beispiele zur Suche nach Aktionen eines bestimmten Benutzers im System.
ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i
Finden Sie Änderungen an Benutzerkonten, Gruppen und Rollen in Auditd-Protokollen
Wenn Sie alle Systemänderungen im Zusammenhang mit Benutzerkonten, Gruppen und Rollen überprüfen möchten; Geben Sie verschiedene durch Kommas getrennte Nachrichtentypen wie im folgenden Befehl an (achten Sie auf die durch Kommas getrennte Liste und lassen Sie kein Leerzeichen zwischen einem Komma und dem nächsten Element):
ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE -i
Durchsuchen Sie die Auditd-Protokolldatei anhand des Schlüsselwerts
Beachten Sie die nachstehende Prüfregel, die alle Versuche protokolliert, auf die Benutzerkontendatenbank /etc/passwd zuzugreifen oder diese zu ändern.
auditctl -w /etc/passwd -p rwa -k passwd_changes
Versuchen Sie nun, die obige Datei zum Bearbeiten zu öffnen und wie folgt zu schließen.
vi /etc/passwd
Nur weil Sie wissen, dass darüber ein Protokolleintrag aufgezeichnet wurde, können Sie die letzten Teile der Protokolldatei möglicherweise mit dem Befehl tail wie folgt anzeigen:
tail /var/log/audit/audit.log
Wenn kürzlich mehrere andere Ereignisse aufgezeichnet wurden, wäre es sehr schwierig, die spezifischen Informationen zu finden. Mit aussearch können Sie jedoch das Flag -k
mit dem von Ihnen angegebenen Schlüsselwert übergeben in der Prüfregel, um alle Protokollmeldungen zu Ereignissen im Zusammenhang mit dem Zugriff oder der Änderung der Datei /etc/passwd anzuzeigen.
Dadurch werden auch die Konfigurationsänderungen angezeigt, die zur Definition der Prüfregeln vorgenommen wurden.
ausearch -k passwd_changes | less
Weitere Informationen und Nutzungsmöglichkeiten finden Sie auf der Manpage von asearch:
man ausearch
Um mehr über Linux-Systemüberwachung und Protokollverwaltung zu erfahren, lesen Sie die folgenden verwandten Artikel.
- Petiti – Ein Open-Source-Protokollanalysetool für Linux-SysAdmins
- Überwachen Sie Serverprotokolle in Echtzeit mit dem Tool „Log.io“ auf RHEL/CentOS 7/6
- So richten Sie die Protokollrotation mit Logrotate unter Linux ein und verwalten sie
- lnav – Überwachen und analysieren Sie Apache-Protokolle von einem Linux-Terminal aus
In diesem Tutorial haben wir beschrieben, wie Sie mit aussearch Daten aus einer auditd-Protokolldatei unter RHEL und CentOS abrufen. Wenn Sie Fragen oder Gedanken zum Teilen haben, nutzen Sie den Kommentarbereich, um uns zu erreichen.
In unserem nächsten Artikel erklären wir, wie Sie mit aureport in RHEL/CentOS/Fedora Berichte aus Audit-Protokolldateien erstellen.