Cómo crear informes a partir de registros de auditoría utilizando 'aureport' en CentOS/RHEL

Este artículo es nuestra serie en curso sobre la auditoría de Linux, en nuestros dos últimos artículos hemos explicado cómo instalar y auditar los sistemas Linux (Cento y Rhel) y cómo consultar registros utilizando AUSEARCH Utility.

En esta tercera parte, explicaremos cómo generar informes a partir de archivos de registro de auditoría usando aureport utilidad en Cento y Rhel Distribuciones basadas en Linux.

Leer también: Cómo producir y entregar informes de actividad del sistema utilizando Toolsets Linux

¿Qué es Auureport??

aureport es una utilidad de línea de comandos utilizada para crear informes de resumen útiles de los archivos de registro de auditoría almacenados en /var/log/audit/. Como ausearch, También acepta datos de registro sin procesar de Stdin.

Es una utilidad fácil de usar; Simplemente pase una opción para un tipo específico de informe que necesita, como se muestra en los ejemplos a continuación.

Crear informe sobre claves de reglas de auditoría

El aurepot El comando producirá un informe sobre todas las claves que especificó en las reglas de auditoría, utilizando el -k bandera.

# aureport -k 

Informe las claves de la regla de auditoría

Puede habilitar la interpretación de entidades numéricas en texto (por ejemplo, convertir el UID al nombre de la cuenta) utilizando el -i opción.

# aureport -k -i 

Crear informe sobre intentos de autenticación

Si necesita un informe sobre todos los eventos relacionados con intentos de autenticación para todos los usuarios, use el -au opción.

# aureport -au o # aureport -au -i 

Resumen de la autenticación de inicio de sesión

Producir informe sobre inicios de sesión

El -l La opción le dice a AuReport que genere un informe de todos los inicios de sesión de la siguiente manera.

Verifique las autenticaciones de inicio de sesión

Informe eventos fallidos en el sistema

El siguiente comando muestra cómo informar todos los eventos fallidos.

# aureport -Failed 

Informe eventos fallidos

Genere un informe resumido durante un período de tiempo determinado

También es posible generar informes durante un período de tiempo específico; el -TS Define la fecha/hora de inicio y -TE Establece una fecha/hora de finalización. También puede usar palabras como ahora, reciente, hoy, ayer, esta semana, semana, ago, este mes, este año en lugar de formatos de tiempo reales.

# aureport -ts 19/09/2017 15:20:00 -te ahora - -Summary -i o # aureport -ts ayer -te ahora 

Generar un informe resumido

Producir informe de un archivo de registro de auditoría diferente

Si desea crear un informe desde un archivo diferente que no sea los archivos de registro predeterminados en /var/log/audit directorio, use el -si marcar para especificar el archivo.

Este comando informa todos los inicios de sesión registrados en /var/log/tecMint/hosts/node1.registro.

# aureport -l -if/var/log/tecmint/hosts/node1.registro 

Puede encontrar todas las opciones y más información en el aureport página del hombre.

# Man aureport 

A continuación se muestra una lista de artículos relacionados con la gestión de registros y herramientas de generación de informes en Linux:

1. 4 Buenas herramientas de administración de registros de código abierto para Linux
2. SARG - Generador de informes de análisis de calamares y herramienta de monitoreo de ancho de banda de Internet
3. SMEM: informa el consumo de memoria por proceso y por usuario en Linux
4. Cómo administrar registros del sistema (configurar, rotar e importar en la base de datos)

En este tutorial, mostramos cómo generar informes sumarios a partir de archivos de registro de auditoría en Rhel/Centos/Fedora. Use la sección de comentarios a continuación para hacer cualquier pregunta o compartir cualquier pensamiento sobre esta guía.

A continuación, mostraremos cómo auditar un proceso específico usando 'autrace'La utilidad, hasta entonces, manténgase bloqueado en Tecmint.