Comment interroger les journaux d'audit à l'aide de l'outil «AUSEARCH» sur CentOS / RHEL

Dans notre dernier article, nous avons expliqué comment auditer le système RHEL ou CentOS à l'aide de l'utilitaire Auditd. Le système d'audit (auditd) est un système de journalisation complet et n'utilise pas Syslog d'ailleurs. Il est également livré avec un ensemble d'outils pour gérer le système d'audit du noyau ainsi que pour rechercher et produire des rapports à partir d'informations dans les fichiers journaux.

Dans ce tutoriel, nous expliquerons comment utiliser ausearch outil pour récupérer les données de auditd Fichiers journaliers sur une distribution Linux basée sur RHEL et CentOS.

Lire aussi: 4 Bonnes outils de surveillance du journal open source et de gestion pour Linux

Comme nous l'avons mentionné plus tôt, le système d'audit a un espace utilisateur Audit démon (auditd) qui rassemble des informations liées à la sécurité basées sur des règles préconfigurées, à partir du noyau et génère des entrées dans un fichier journal.

Qu'est-ce que AUSEARCH?

ausearch est un outil de ligne de commande simple utilisé pour rechercher les fichiers journaux de démon d'audit en fonction des événements et différents critères de recherche tels que l'identifiant d'événements, l'identifiant de clé, l'architecture du processeur, le nom de commande, le nom d'hôte, le nom de groupe ou l'ID de groupe, le système, les messages et au-delà. Il accepte également les données brutes de STDIN.

Par défaut, ausearch interroge le / var / log / audit / audit.enregistrer fichier, que vous pouvez afficher comme n'importe quel autre fichier texte.

# CAT / VAR / LOG / Audit / Audit.journal ou # cat / var / log / audit / audit.Journal | moins 

Afficher les fichiers journaux AuditD

À partir de la capture d'écran ci-dessus, vous pouvez voir de nombreuses données du fichier journal, ce qui rend difficile d'obtenir des informations d'intérêt spécifiques.

Par conséquent, vous avez besoin ausearch, qui permet de rechercher des informations d'une manière plus puissante et efficace en utilisant la syntaxe suivante.

# AUSEARCH [OPTIONS] 

Vérifier les journaux de processus en cours d'exécution dans le fichier journal AuditD

Le -p Le drapeau est utilisé pour passer un ID de processus.

# AUSEARCH -P 2317 

Vérifiez les journaux de processus Linux

Vérifier les tentatives de connexion échouées dans le fichier journal AuditD

Ici, vous devez utiliser le -m option pour identifier des messages spécifiques et -SV Pour définir la valeur de réussite.

# AUSEARCH -M USER_LOGIN -SV NO 

Trouver des tentatives de connexion ratées dans les journaux

Trouver l'activité de l'utilisateur dans le fichier journal Auditd

Le -ua est utilisé pour passer un nom d'utilisateur.

# AUSEARCH -UA Tecmint ou # AUSEARCH -UA Tecmint -I # Activer l'interprétation des entités numériques dans le texte. 

Trouver l'activité de l'utilisateur dans Linux

Pour interroger les actions effectuées par un certain utilisateur à partir d'une période donnée, utilisez le -ts pour la date / heure de début et -te Pour spécifier la date / heure de fin comme suit (notez que vous pouvez utiliser des mots tels que maintenant, récent, aujourd'hui, hier, cette semaine, il y a la semaine, ce mois, cette année ainsi que le point de contrôle au lieu des formats de temps réels).

# AUSEARCH -UA Tecmint -ts hier -te maintenant -i 

Trouver l'activité de l'utilisateur dans un temps précis

Plus d'exemples sur la recherche d'actions par un utilisateur donné sur le système.

# AUSEARCH -UA 1000 -TS cette semaine -i # AUSEARCH -UA Tecmint -M User_login -Sv NO -I 

Trouver des modifications des comptes d'utilisateurs, des groupes et des rôles dans les journaux AuditD

Si vous souhaitez consulter toutes les modifications du système à réaliser avec les comptes d'utilisateurs, les groupes et les rôles; Spécifiez divers types de messages séparés par les virgules comme dans la commande ci-dessous (prenez soin de la liste séparée des virgules, ne laissez aucun espace entre une virgule et l'élément suivant):

# AUSEARCH -M ADD_USER, DEL_USER, USER_CHAUTHTOK, ADD_GROUP, DEL_GROUP, CHGRP_ID, RALE_ASSIGN, Role_Remove -I 

Vérifiez les modifications du système Linux

Rechercher le fichier journal Auditd à l'aide de la valeur de la clé

Considérez la règle d'audit ci-dessous qui enregistrera toute tentative d'accéder ou de modifier le / etc / passwd base de données des comptes d'utilisateurs.

# auditctl -w / etc / passwd -p rwa -k passwd_changes 

Maintenant, essayez d'ouvrir le fichier ci-dessus pour l'édition et fermez-le, comme suit.

# vi / etc / passwd 

Juste parce que vous savez qu'une entrée de journal a été enregistrée à ce sujet, vous afficheriez peut-être les dernières parties du fichier journal avec la commande Tail comme suit:

# Tail / Var / Log / Audit / Audit.enregistrer 

Et si plusieurs autres événements avaient été récemment enregistrés, trouver les informations spécifiques serait si difficile, mais utiliser ausearch, vous pouvez passer le -k Indicateur avec la valeur clé que vous avez spécifiée dans la règle d'audit pour afficher tous les messages de journal concernant les événements à faire avec l'accès ou la modification / etc / passwd déposer.

Cela affichera également les modifications de configuration effectuées par la définition des règles d'audit.

# AUSEARCH -K PASSWD_CHANGES | moins 

Vérifier les modifications du mot de passe des utilisateurs du système

Pour plus d'informations et d'options d'utilisation, lisez la page AUSEARCH MAN:

# man aUSEARCH 

Pour en savoir plus sur l'audit du système Linux et la gestion des journaux, lisez ces articles connexes suivants.

1. Petiti - un outil d'analyse du journal open source pour Linux Sysadmins
2. Surveiller les journaux du serveur en temps réel avec «journal.outil IO ”sur RHEL / CENTOS 7/6
3. Comment configurer et gérer la rotation des journaux à l'aide de Logrotate dans Linux
4. LNAV - Regardez et analysez les journaux Apache à partir d'un terminal Linux

Dans ce tutoriel, nous avons décrit comment utiliser ausearch Pour récupérer les données d'un fichier journal Auditd sur RHEL et CENTOS. Si vous avez des questions ou des pensées à partager, utilisez la section des commentaires pour nous joindre.

Dans notre prochain article, nous expliquerons comment créer des rapports à partir des fichiers journaux d'audit en utilisant aureport Dans Rhel / Centos / Fedora.