Kā izveidot aureport audita žurnāla pārskatus programmā Centos 7

Kā izveidot aureport audita žurnāla pārskatus programmā Centos 7 | Linux / Unix 2024
Kā izveidot aureport audita žurnāla pārskatus programmā Centos 7 | Linux / Unix 2024

Pastāvīga mūsu serveru uzraudzība vienmēr garantē to integritāti un funkcionalitāti, it īpaši, ja runa ir par serveriem produktīvā vidē. Periodiski veicot sistēmas drošības auditus, mēs garantējam, ka esam atjaunināti un esam soli priekšā, ņemot vērā iespējamos sistēmas draudus un ievainojamības.

Revīzijas būtu jāuzskata par biežu uzdevumu IT jomā, lai nākotnē novērstu daudz radikālākas darbības, kas ietekmē lietotāju lomas, pakalpojumus vai elementus.

Tagad Solvetic norādīs, kā mēs varam izveidot revīzijas ziņojumus, kas ir būtiski vadības sanāksmēm, atbalstiem vai žurnāliem par notikumiem, kas notiek serverī, šajā gadījumā mēs runājam par CentOS 7.

Kas ir aureportAureport lietderība ir izstrādāta, lai mēs varētu ģenerēt konkrētus un būtiskus ziņojumus par notikumiem, kas reģistrēti revīzijas žurnāla failos.

Pēc noklusējuma visi aud.log faili, kas atrodas direktorijā / var / log / audit /, tiek vaicāti, lai izveidotu pārskatu. Pārskatā būs iespējams norādīt citu failu, pret kuru atskaite tiks palaista, izmantojot komandu aureport -if faila nosaukums.

Aureport piedāvā dažādas tās izmantošanas alternatīvas, un katra no tām sniegs atšķirīgu rezultātu, šīs iespējas ir šādas.

1. Izveidojiet pārskatu par revīzijas kārtulas pārskata atslēgām


Ja mēs izmantojam parametru -k, aureport sagatavos pārskatu par visām revīzijas noteikumos noteiktajām atslēgām.

Tās izpilde ir šāda: 

 aureport -k
Tā rezultāts ir šāds:

Tur mēs varam redzēt detalizētu informāciju, kas norāda datumu, laiku un notikumu. Ir iespējams iespējot skaitlisku entītiju interpretāciju tekstā (piemēram, UID konvertēšanu uz konta nosaukumu), izmantojot opciju -i: 

 aureport -k -i

2. Izveidojiet pārskatu par autentifikācijas mēģinājumiem aureport sistēmā


Iespējams, ka drošības un kontroles apsvērumu dēļ mums ir nepieciešams pārskats par visiem notikumiem, kas saistīti ar visu CentOS 7 lietotāju autentifikācijas mēģinājumiem, tāpēc mēs izmantosim parametru -au. 
 aureport -au aureport -au -i
Rezultāts būs šāds:

3. Ģenerējiet pārskatus, kas saistīti ar aureport pieteikšanos


Pateicoties parametram -l, būs iespējams norādīt aureport ģenerēt pārskatu par visiem pieteikšanās gadījumiem CentOS 7.
Mēs izpildīsim sekojošo: 
 aureport -l
Iegūtais rezultāts būs šāds:

Mēs varam detalizēti redzēt pieteikšanās datumu un laiku.

4. Ģenerēt ziņojumu par neveiksmīgiem notikumiem aureport sistēmā


Ja mēs vēlamies iegūt ziņojumu par notikumiem ar kļūdu programmā CentOS 7, kas ir praktiski, lai detalizēti zinātu, kurš notikums un kad tas tika ģenerēts, mēs varam izpildīt sekojošo: 
 aureport -neizdevās

Mēs varam redzēt notikumu kategorijas ar attiecīgo summu.

5. Ģenerējiet pārskatu par noteiktu laika periodu


Izmantojot aureport, ir iespējams ģenerēt pārskatus par noteiktu laika periodu; Parametrs -ts nosaka sākuma datumu un laiku, un vērtība -te nosaka beigu datumu un laiku.

Turklāt reāllaika formātu vietā ir iespējams lietot tādus vārdus kā tagad, nesen, šodien, vakar, šonedēļ, šonedēļ, šomēnes, šogad.

Mēs varam vadīt šādas līnijas: 

 aureport -ts 20.09.2017 08:00:00 -te tagad -kopsavilkums -i aureport -ts šodien -te tagad -kopsavilkums -i

6. Ģenerējiet atskaites, izmantojot citu žurnālfailu aureport


Ir iespējams izveidot atskaiti, izmantojot direktorijā / var / log / audit direktoriju citu failu, nevis noklusējuma žurnālfailus, šim nolūkam mums ir jāizmanto karodziņš -if, lai atsauktos uz failu: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
Citi noderīgi parametri, ko izmantot ar aureport, ir šādi:

Ziņojumi par autentifikācijas mēģinājumiem 

 -au, -aut

Ziņojums par avc ziņojumiem 
 -a, -avc

Ziņojiet par konfigurācijas izmaiņām 

 -c, --konfigurēt

Ziņojums par kriptogrāfijas notikumiem 

 -cr, --kripto

Ziņojums par notikumiem 

 -e, -notikums

Ziņojiet par failiem 
 -f, -fails

Atlasiet neveiksmīgus notikumus, ko apstrādāt pārskatos 
 -neizdevās

Pārskati par saimniekiem 

 -h, -saimnieks

Izdrukā izpildāmās komandas kopsavilkumu 

 -palīdzēt

Interpretējiet ciparu entītijas tekstāPiemēram, uid kļūst par konta nosaukumu. Pārvēršana tiek veikta, izmantojot tās mašīnas pašreizējos resursus, kurā tiek veikta meklēšana 

 -i, -interpretēt
.

Izmanto norādīto failuTas palīdz analizēt, kad ieraksti ir pārvietoti uz citu mašīnu vai ir saglabāta tikai daļa no ieraksta. 

 -ja, -ievades fails

Analīzei izmanto žurnāla faila auditd.conf atrašanās vietuTas ir nepieciešams, ja izmantojat aureport no cron darba. 

 -ievades žurnāli

Pārskati par revīzijas noteikumu atslēgām 

 -k, -atslēga

Pārskati par pieteikšanos 

 -l, -pieteikties

Ziņojums par konta izmaiņām 

 -m, --mods

Pārskati par obligātās piekļuves kontroles (MAC) notikumiem 

 -ma, -mac

Ziņojumi par anomālijas notikumiemŠie notikumi ietver NIC, kas darbojas bezcerīgi, un atsevišķas programmas. 

 -n, -anomālija

Ļauj atlasīt notikumus, kuru izcelsme ir mezglu nosaukumu virknē un kurus apstrādāt pārskatosPēc noklusējuma ir jāiekļauj visi mezgli. Ir atļauti vairāki mezgli. 

 -mezgla mezgla nosaukums

Ziņojiet par pašreizējiem procesiem 

 -p, -stulbs

Pārskati par atbildēm uz neveiksmes notikumiem 

 -r, -atbilde

Ziņojums par sistēmas zvaniem 

 -s, -sistēmas zvans

Pārskatos atlasiet tikai veiksmīgus notikumus apstrādeiNoklusējums ir veiksmīgs. 

 -veiksme

Izpilda kopsavilkuma pārskatu, kurā ir apkopoti visi galvenie pārskata vienumi 

 -rezumē

Šī opcija parāda pārskatu par katra ieraksta sākuma un beigu laiku. 

 -t, -žurnāls

Meklē notikumus, kuru laika zīmogi ir vienādi vai vecāki par doto beigu laiku.Beigu laika formāts ir atkarīgs no jūsu lokalizācijas. Ja datums tiek izlaists, tiek pieņemts šodien. Ja laiks tiek izlaists, tagad tiek pieņemts. Lai noteiktu laiku, mēs varam izmantot 24 stundu pulksteni, nevis AM vai PM. Atcerieties, ka ir iespējams lietot tādus vārdus kā: tagad, nesen, šodien, vakar, šonedēļ, nedēļu, šo mēnesi, šogad. Šodien nozīmē sākt tūlīt. Pēdējais ir pirms 10 minūtēm. Vakar ir 1 sekunde pēc pusnakts iepriekšējā dienā. Šī nedēļa nozīmē, ka jāsāk 1 sekunde pēc pusnakts nedēļas nedēļā, ko nosaka jūsu atrašanās vieta (skatiet vietējo laiku). Šis mēnesis nozīmē 1 sekundi pēc mēneša 1. pusnakts. Šis gads nozīmē 1 sekundi pēc pusnakts pirmā mēneša pirmajā dienā. 

 -te, --end [beigu datums] [beigu laiks]

Informē par termināliem 

 -tm, -terminālis

Meklē notikumus ar laika zīmogiem, kas ir vienādi vai vēlāk par norādīto beigu laikuBeigu laika formāts ir atkarīgs no jūsu lokalizācijas. Ja datums tiek izlaists, tiek pieņemts šodien. Ja laiks tiek izlaists, tiek pieņemts pusnakts. Lai noteiktu laiku, mēs varam izmantot 24 stundu pulksteni, nevis AM vai PM. 
 -ts, --start [sākuma datums] [sākums]

Informējiet par lietotājiem 

 -u, -lietotājs

Izdrukājiet versiju un izejiet no utilītas 

 -v, --versija

Ziņojums par izpildāmām programmām 

 -x, --izpildāms

Visbeidzot, lai saņemtu vispārēju palīdzību no utilītas, mēs varam palaist man aureport. Tādā veidā mēs varam redzēt, kā šī utilīta ļauj mums izveidot detalizētus ziņojumus par visām revīzijas problēmām Linux vidē, šajā gadījumā CentOS 7, un tādējādi veikt daudz pilnīgāku servera notikumu administrēšanu.

wave wave wave wave wave

Populārākas Posts

wave
1
post-title
Kā labot Nevar lejupielādēt lietotni Google Play
2
post-title
GPO POWER OPTIONS: Izrakstieties Windows Server Windows 10 neaktivitātes dēļ
3
post-title
Python - valodas paplašināšana
4
post-title
Kā noņemt vai mainīt SIM PIN kodu Samsung Galaxy M10
5
post-title
Iphone 5, Galaxy S3 vai Lumia 920 Kuru pirkt?

Ieteicams

wave
- Sponsored Ad -

Redaktora Izvēle

wave
- Sponsored Ad -