Comment créer des rapports à partir de journaux d'audit à l'aide de «Aureport» sur Centos / Rhel
- 581
- 93
- Emilie Colin
Cet article est notre série en cours sur l'audit Linux, dans nos deux derniers articles, nous avons expliqué comment installer et auditer les systèmes Linux (Centos et Rhel) et comment interroger les journaux à l'aide de l'utilitaire AUSEARCH.
Dans cette troisième partie, nous expliquerons comment générer des rapports à partir de fichiers journaux d'audit à l'aide aureport utilité Centos et Rhel Distributions Linux basées.
Lire aussi: Comment produire et fournir des rapports d'activité du système à l'aide de Tools Linux
Qu'est-ce qu'Aureport?
aureport est un utilitaire de ligne de commande utilisé pour créer des rapports de résumé utiles à partir des fichiers journaux d'audit stockés dans / var / log / audit /. Comme ausearch, Il accepte également les données de journal brutes de STDIN.
Il s'agit d'un utilitaire facile à utiliser; Passez simplement une option pour un type de rapport spécifique dont vous avez besoin, comme indiqué dans les exemples ci-dessous.
Créer un rapport concernant les clés de règle d'audit
Le aurepot La commande produira un rapport sur toutes les clés que vous avez spécifiées dans les règles d'audit, en utilisant le -k drapeau.
# Aureport -K
Signaler les clés de la règle d'audit Vous pouvez activer l'interprétation des entités numériques en texte (par exemple convertir UID en nom de compte) en utilisant le -je option.
# Aureport -K -i
Créer un rapport sur les tentatives d'authentications
Si vous avez besoin d'un rapport sur tous les événements relatifs aux tentatives d'authentifications pour tous les utilisateurs, utilisez le -au option.
# Aureport -AU ou # Aureport -AU -I
Résumé de l'authentification de la connexion Produire un rapport concernant les connexions
Le -l L'option indique à Aureport de générer un rapport de toutes les connexions comme suit.
Vérifier les authentifications de connexion Signaler les événements ratés sur le système
La commande suivante montre comment signaler tous les événements ratés.
# Aureport - Failed
Signaler les événements ratés Générer un rapport de résumé pour une période donnée
Il est également possible de générer des rapports pour une période de temps spécifiée; le -ts définit la date / heure de début et -te Définit une date / heure de fin. Vous pouvez également utiliser des mots comme maintenant, récent, aujourd'hui, hier, cette semaine, il y a la semaine, ce mois, cette année au lieu de formats de temps réels.
# Aureport -ts 19/09/2017 15:20:00 -Te maintenant --Summary -i ou # Aureport -ts hier -te maintenant --Summary -I
Générer un rapport de résumé Produire un rapport à partir de différents fichiers journaux d'audit
Si vous souhaitez créer un rapport à partir d'un fichier différent autre que les fichiers journaux par défaut dans / var / log / Audit répertoire, utilisez le -si Indicateur pour spécifier le fichier.
Cette commande rapporte toutes les connexions enregistrées dans / var / log / tecmint / hosts / node1.enregistrer.
# Aureport -l -if / var / log / tecmint / hosts / node1.enregistrer
Vous pouvez trouver toutes les options et plus d'informations dans le aureport page.
# man aureport
Vous trouverez ci-dessous une liste d'articles concernant la gestion des journaux et des outils de génération de rapports dans Linux:
- 4 Bonnes outils de surveillance et de gestion du journal open source pour Linux
- SARG - Générateur de rapports d'analyse de squid et outil de surveillance de la bande passante Internet
- SMEM - rapporte la consommation de mémoire par processus et la base par utilisateur à Linux
- Comment gérer les journaux système (configurer, tourner et importer dans la base de données)
Dans ce tutoriel, nous avons montré comment générer des rapports de résumé à partir des fichiers journaux d'audit dans RHEL / CENTOS / FEDORA. Utilisez la section des commentaires ci-dessous pour poser des questions ou partager des réflexions concernant ce guide.
Ensuite, nous montrerons comment auditer un processus spécifique en utilisant 'autocartre'Utility, jusque-là, restez verrouillé sur Tecmint.
- « Chkservice - un moyen facile de gérer les unités Systemd dans le terminal
- Installation de Zentyal 5.0 serveur »