Come creare report di log di audit aureport in Centos 7

Come creare report di log di audit aureport in Centos 7 | Linux/Unix 2024
Come creare report di log di audit aureport in Centos 7 | Linux/Unix 2024

Il monitoraggio costante dei nostri server ne garantisce l'integrità e la funzionalità in ogni momento, soprattutto quando si tratta di server in ambienti produttivi. L'esecuzione periodica di audit di sicurezza al sistema ci garantisce di essere aggiornati e un passo avanti di fronte a possibili minacce e vulnerabilità che il sistema potrebbe avere.

Gli audit dovrebbero essere considerati un'attività frequente all'interno dell'area IT al fine di prevenire in futuro azioni molto più radicali che influiscano su ruoli, servizi o elementi dell'utente.

Ora, Solvetic indicherà come possiamo generare report di audit che sono vitali per riunioni di gestione, supporti o registri di eventi che si verificano su un server, in questo caso stiamo parlando di CentOS 7.

Cos'è l'aureport?L'utility aureport è stata progettata per permetterci di generare report concreti e vitali sugli eventi registrati nei file di log di audit.

Per impostazione predefinita, tutti i file audit.log contenuti nella directory /var/log/audit/ vengono interrogati per creare il report. Nel report sarà possibile specificare un file diverso su cui eseguire il report utilizzando il comando aureport -if filename.

Aureport ci offre varie alternative per il suo utilizzo e ognuna ci darà un risultato diverso, queste opzioni sono le seguenti.

1. Crea report sulle chiavi della regola di audit aureport


Se usiamo il parametro -k, aureport produrrà un report su tutte le chiavi definite nelle regole di audit.

La sua esecuzione è: 

 aureport -k
Il suo risultato è il seguente:

Lì possiamo vedere informazioni dettagliate che indicano la data, l'ora e l'evento che si è verificato. È possibile abilitare l'interpretazione di entità numeriche nel testo (come la conversione dell'UID in nome account) utilizzando l'opzione -i: 

 aureport -k -i

2. Crea report sui tentativi di autenticazione nel sistema aureport


È possibile che per motivi di sicurezza e controllo sia necessario un report su tutti gli eventi relativi ai tentativi di autenticazione di tutti gli utenti in CentOS 7, per questo utilizzeremo il parametro -au. 
 aureport -au aureport -au -i
Il risultato sarà il seguente:

3. Genera report associati agli accessi aureport


Grazie al parametro -l sarà possibile dire ad aureport di generare un report di tutti gli accessi in CentOS 7.
Eseguiremo quanto segue: 
 aureport -l
Il risultato ottenuto sarà il seguente:

Possiamo vedere in dettaglio la data e l'ora degli accessi.

4. Genera report di eventi falliti nel sistema aureport


Se vogliamo ottenere un report sugli eventi con errore in CentOS 7, pratico per sapere in dettaglio quale evento e quando è stato generato, possiamo eseguire quanto segue: 
 aureport -failed

Possiamo vedere le categorie di eventi con il rispettivo importo.

5. Genera un rapporto per un determinato periodo di tempo aureport


Con aureport è possibile generare report per un determinato periodo di tempo; Il parametro -ts definisce la data e l'ora di inizio e il valore -te imposta la data e l'ora di fine.

Inoltre è possibile utilizzare parole come adesso, recente, oggi, ieri, questa settimana, questa settimana, questo mese, quest'anno invece dei formati in tempo reale.

Possiamo eseguire linee come: 

 aureport -ts 20/09/2017 08:00:00 -te now --summary -i aureport -ts today -te now --summary -i

6. Genera report utilizzando un diverso file di registro aureport


È possibile creare un report utilizzando un file diverso dai file di log di default nella directory /var/log/audit, per questo dobbiamo usare il flag -if per fare riferimento al file: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
Altri parametri utili da utilizzare con aureport sono:

Rapporti sui tentativi di autenticazione 

 -au, --auth

Report sui messaggi avc 
 -a, --avc

Segnala modifiche alla configurazione 

 -c, --config

Report sugli eventi crypto 

 -cr, --crypto

Report sugli eventi 

 -e, --evento

Rapporto sui file 
 -f, --file

Seleziona gli eventi non riusciti da elaborare nei rapporti 
 --fallito

Rapporti sugli host 

 -h, --host

Stampa un riepilogo del comando da eseguire 

 --aiuto

Interpretare entità numeriche nel testoAd esempio, uid diventa un nome account. La conversione viene eseguita utilizzando le risorse correnti della macchina su cui è in esecuzione la ricerca 

 -i, --interpreta
.

Utilizza il file indicatoQuesto aiuta l'analisi quando i record sono stati spostati su un'altra macchina o è stata salvata solo una parte di un record. 

 -if, --file di input

Utilizza la posizione del file di registro auditd.conf come input per l'analisiQuesto è necessario se stai usando aureport da un cron job. 

 --input-log

Rapporti sulle chiavi delle regole di controllo 

 -k, --key

Rapporti sugli accessi 

 -l, --login

Rapporto sulle modifiche dell'account 

 -m, --mod

Rapporti sugli eventi di controllo degli accessi obbligatori (MAC) 

 -ma, --mac

Report su eventi di anomaliaQuesti eventi includono NIC che vanno in programmi promiscui e segfaulting. 

 -n, --anomalia

Consente di selezionare gli eventi originati dalla stringa di nomi di nodi da elaborare nei reportL'impostazione predefinita è includere tutti i nodi. Sono consentiti più nodi. 

 --node nome-nodo

Report sui processi in corso 

 -p, --pid

Rapporti sulle risposte agli eventi di guasto 

 -r, --risposta

Rapporto sulle chiamate di sistema 

 -s, --syscall

Seleziona solo gli eventi di successo per l'elaborazione nei rapportiL'impostazione predefinita ha esito positivo. 

 --successo

Esegue un rapporto di riepilogo che fornisce un totale degli elementi principali del rapporto 

 --riassume

Questa opzione visualizza un rapporto delle ore di inizio e di fine di ogni record. 

 -t, --log

Cerca eventi con timestamp uguali o precedenti all'ora di fine specificata.Il formato dell'ora di fine dipende dalle impostazioni internazionali. Se la data viene omessa, si presume oggi. Se il tempo viene omesso, ora viene assunto. Possiamo usare l'orologio a 24 ore invece di AM o PM per specificare l'ora. Ricorda che è possibile usare parole come: adesso, recente, oggi, ieri, questa settimana, settimana, questo mese, quest'anno. Oggi significa iniziare adesso. Recente è 10 minuti fa. Ieri è 1 secondo dopo la mezzanotte del giorno prima. Questa settimana significa che inizia 1 secondo dopo la mezzanotte del giorno 0 della settimana determinato dalla tua posizione (vedi ora locale). Questo mese significa 1 secondo dopo la mezzanotte del primo del mese. Quest'anno significa 1 secondo dopo la mezzanotte del primo giorno del primo mese. 

 -te, --end [data di fine] [ora di fine]

Informa sui terminali 

 -tm, --terminale

Cerca eventi con timestamp uguali o successivi all'ora di fine specificataIl formato dell'ora di fine dipende dalle impostazioni internazionali. Se la data viene omessa, si presume oggi. Se l'ora viene omessa, si presume la mezzanotte. Possiamo usare l'orologio a 24 ore invece di AM o PM per specificare l'ora. 
 -ts, --start [data di inizio] [inizio]

Informare sugli utenti 

 -u, --user

Stampa la versione ed esci dall'utility 

 -v, --versione

Rapporto sugli eseguibili 

 -x, --eseguibile

Infine, per ottenere un aiuto generale dall'utility, possiamo eseguire man aureport. In questo modo possiamo vedere come questa utility ci consente di generare report dettagliati su tutti i problemi di audit in ambienti Linux, in questo caso CentOS 7, e quindi svolgere un'amministrazione molto più completa degli eventi del server.

wave wave wave wave wave

Messaggi Popolari

wave
1
post-title
Come rinominare il desktop virtuale di Windows 10
2
post-title
Creazione di database e tabelle in PhpMyAdmin
3
post-title
▷ Come installare l'interfaccia grafica in Ubuntu Server 21.04 - SCRIVANIA
4
post-title
Come disabilitare i programmi di avvio automatico Windows 10
5
post-title
Google porta la realtà aumentata con oggetti 3D da scaricare

Raccomandato

wave
- Sponsored Ad -

Scelta Del Redattore

wave
- Sponsored Ad -