Como criar relatórios a partir de logs de auditoria usando 'aureport' no CentOS/RHEL

Este artigo é nossa série em andamento sobre auditoria do Linux, em nossos dois últimos artigos, explicamos como instalar e auditar sistemas Linux (CENTOS e RHEL) e como consultar logs usando o utilitário AuMearch.

Nesta terceira parte, explicaremos como gerar relatórios a partir de arquivos de log de auditoria usando aureport utilidade em CENTOS e RHEL Distribuições Linux baseadas.

Leia também: Como produzir e entregar relatórios de atividades do sistema usando o Linux ToolSets

O que é Aureport?

aureport é um utilitário de linha de comando usado para criar relatórios de resumo úteis a partir dos arquivos de log de auditoria armazenados em /var/log/audit/. Como AuMearch, Ele também aceita dados de log bruto do stdin.

É um utilitário fácil de usar; Basta passar uma opção para um tipo específico de relatório que você precisa, como mostrado nos exemplos abaixo.

Crie relatório sobre as chaves da regra de auditoria

O aurepot O comando produzirá um relatório sobre todas as chaves que você especificou nas regras de auditoria, usando o -k bandeira.

# aureport -k 

Você pode permitir a interpretação de entidades numéricas em texto (por exemplo, convertido uid em nome da conta) usando o -eu opção.

# aureport -k -i 

Crie relatório sobre tentativas de autenticações

Se você precisar de um relatório sobre todos os eventos relacionados à tentativa de autenticações para todos os usuários, use o -Au opção.

# aureport -au ou # aureport -au -i 

Produza relatório sobre logins

O -eu A opção diz a Aureport para gerar um relatório de todos os logins da seguinte maneira.

Relatório Falhou eventos no sistema

O comando a seguir mostra como relatar todos os eventos fracassados.

# aureport -falhado 

Gerar relatório de resumo para um determinado período de tempo

Também é possível gerar relatórios por um período especificado; o -ts define a data de início/hora e -te Define uma data de término/hora. Você também pode usar palavras como agora, recente, hoje, ontem, nesta semana, semana-ago, este mês, este ano, em vez de formatos de tempo real.

# aureport -ts 19/09/2017 15:20:00 -te agora - -Summary -i ou # aureport -ts ontem -te agora - -sumário -i 

Produzir relatório de diferentes arquivos de log de auditoria

Se você deseja criar um relatório a partir de um arquivo diferente que os arquivos de log padrão em /var/log/auditoria diretório, use o -se sinalizador para especificar o arquivo.

Este comando relata todos os logins gravados em /var/log/tecmint/hosts/node1.registro.

# aureport -l -if/var/log/tecmint/hosts/node1.registro 

Você pode encontrar todas as opções e mais informações no aureport página de homem.

# homem aureport 

Abaixo está uma lista de artigos sobre gerenciamento de logs e ferramentas de geração de relatórios no Linux:

1. 4 Boas ferramentas de monitoramento e gerenciamento de log de código aberto para Linux
2. SARG - Squid Analysis Relatório gerador e ferramenta de monitoramento de largura de banda da Internet
3. SMEM-relata o consumo de memória por processo e base por usuário no Linux
4. Como gerenciar logs do sistema (configurar, girar e importar para o banco de dados)

Neste tutorial, mostramos como gerar relatórios de resumo a partir de arquivos de log de auditoria em RHEL/CENTOS/FEDORA. Use a seção de comentários abaixo para fazer qualquer pergunta ou compartilhar quaisquer pensamentos sobre este guia.

Em seguida, mostraremos como auditar um processo específico usando 'Autrace'Utilidade, até então, mantenha -se bloqueado para Tecmint.