So erstellen Sie Berichte zu aureport-Überwachungsdatensätzen in Centos 7

administrator Leave a Comment

Eine ständige Überwachung unserer Server garantiert uns jederzeit deren Integrität und Funktionalität, insbesondere wenn es um Server in produktiven Umgebungen geht. Die regelmäßige Durchführung von Systemsicherheitsüberprüfungen garantiert, dass wir auf dem neuesten Stand sind und den möglichen Bedrohungen und Schwachstellen des Systems einen Schritt voraus sind.

Audits sollten im IT-Bereich eine häufige Aufgabe sein, um radikalere Aktionen zu verhindern, die sich in Zukunft auf Rollen, Dienste oder Benutzerelemente auswirken.

Jetzt zeigt TechnoWikis, wie wir Audit-Berichte erstellen können, die für Management-Meetings, Support oder Protokolle der Ereignisse auf einem Server wichtig sind. In diesem Fall handelt es sich um CentOS 7.

Was ist aureport?
Das Dienstprogramm aureport wurde so konzipiert, dass wir konkrete und wichtige Berichte zu den in den Überwachungsprotokolldateien aufgezeichneten Ereignissen erstellen können.

Standardmäßig werden alle audit.log-Dateien, die sich im Verzeichnis / var / log / audit / befinden, abgefragt, um den Bericht zu erstellen. Im Bericht kann mit dem Befehl aureport -if filename eine andere Datei angegeben werden, für die der Bericht ausgeführt werden soll.

Aureport bietet verschiedene Alternativen für seine Verwendung an, und jede ergibt ein anderes Ergebnis. Diese Optionen sind wie folgt.

1. Erstellen Sie einen Bericht zu den Schlüsseln der aureport-Überwachungsregel

Wenn wir den Parameter -k verwenden, erstellt aureport einen Bericht über alle in den Überwachungsregeln definierten Schlüssel.

Seine Ausführung ist: 

 aureport -k

Das Ergebnis ist das Folgende:

Erstellen-von-Berichten-über-Aufzeichnungen-Audit-aureport-de-Centos-7-1.png

Dort sehen wir detaillierte Informationen zu Datum, Uhrzeit und aufgetretenem Ereignis. Mit der Option -i können Sie die Interpretation von numerischen Entitäten im Text aktivieren (z. B. die Umwandlung der UID in einen Kontonamen): 

 aureport -k -i

2. Erstellen Sie einen Bericht über Authentifizierungsversuche im aureport-System

Es ist möglich, dass wir aus Sicherheits- und Kontrollgründen einen Bericht über alle Ereignisse im Zusammenhang mit Authentifizierungsversuchen aller Benutzer in CentOS 7 benötigen. Hierzu verwenden wir den Parameter -au. 

 aureport -au aureport -au -i

Das Ergebnis wird folgendes sein:

See also  Was ist Rsync und wie wird es für Backups verwendet?

Erstellen-von-Berichten-über-Aufzeichnungen-Audit-aureport-de-Centos-7-2.png

3. Generieren Sie Berichte zu Aureport-Anmeldungen

Dank des Parameters -l kann aureport angewiesen werden, einen Bericht über alle Anmeldungen in CentOS 7 zu erstellen.
Wir werden folgendes ausführen: 

 aureport -l

Das erhaltene Ergebnis wird das folgende sein:

Erstellen-von-Berichten-über-Aufzeichnungen-Audit-aureport-de-Centos-7-3.png

Wir können Datum und Uhrzeit der Anmeldungen im Detail sehen.

4. Generieren Sie einen Bericht über fehlgeschlagene Ereignisse im aureport-System

Wenn wir einen Bericht über die fehlerhaften Ereignisse in CentOS 7 erhalten möchten, in dem genau bekannt ist, welches Ereignis und wann es generiert wurde, können wir Folgendes ausführen: 

 aureport fehlgeschlagen

audit-records-reports-aureport-de-Centos-7-4.png

Wir können die Kategorien von Ereignissen mit dem entsprechenden Betrag sehen.

5. Generieren Sie einen Bericht für einen bestimmten Zeitraum

Mit aureport ist es möglich, Berichte für einen bestimmten Zeitraum zu erstellen. Der Parameter -ts definiert das Startdatum und die Startzeit sowie den Wert, für den Sie ein Enddatum und eine Endzeit festgelegt haben.

Zusätzlich ist es möglich, Wörter wie jetzt, aktuell, heute, gestern, diese Woche, Woche, diesen Monat, dieses Jahr anstelle der Echtzeitformate zu verwenden.

Wir können folgende Zeilen ausführen: 

 aureport -ts 20.09.2017 08:00:00 -te now --summary -i aureport -ts heute -te jetzt --summary -i

create-records-reports-audit-aureport-de-Centos-7-5.png

6. Generieren Sie Berichte mit einer anderen aureport-Protokolldatei

Es ist möglich, einen Bericht mit einer anderen Datei als den Standardprotokolldateien im Verzeichnis / var / log / audit zu erstellen. Hierzu müssen Sie das Flag -if verwenden, um auf die Datei zu verweisen: 

 aureport -l -if /var/log/solvetic/hosts/node3.log

Andere nützliche Parameter für aureport sind:

Authentifizierungsversuche melden 
 -au, --auth

Informiert über AVC-Nachrichten 
 -a, --avc

Konfigurationsänderungen melden 
 -c, --config

Bericht über Krypto-Ereignisse 
 -cr, --crypto

Ereignisse melden 
 -e, --event

Dateien melden 
 -f, --file

Wählen Sie die fehlgeschlagenen Ereignisse aus, um sie in den Berichten zu verarbeiten 
 - fehlgeschlagen

Informieren Sie sich über Gastgeber 
 -h, --host

Gibt eine Zusammenfassung des auszuführenden Befehls aus 
 --Hilfe

Interpretieren Sie numerische Entitäten im Text
Beispielsweise wird UID ein Kontoname. Die Konvertierung erfolgt unter Verwendung der aktuellen Ressourcen des Computers, auf dem die Suche ausgeführt wird 

 -i, - interpretieren

.

Nutzen Sie die angegebene Datei
Dies erleichtert die Analyse, wenn die Datensätze auf einen anderen Computer verschoben wurden oder nur ein Teil eines Datensatzes gespeichert wurde. 

 -if, --input Datei

Verwenden Sie den Speicherort der Protokolldatei auditd.conf als Eingabe für die Analyse
Dies ist erforderlich, wenn Sie einen aureport aus einem Cron-Job verwenden. 

 --Eingabe-Protokolle

Berichte über die Prüfregelschlüssel 
 -k, --key

Berichte über Logins 
 -l, --login

Bericht über Kontoänderungen 
 -m, --mods

Bericht über obligatorische Zugriffssteuerungsereignisse (MAC) 
 -ma, --mac

Anomalieereignisse melden
Zu diesen Ereignissen gehören das Wechseln der Netzwerkkarte in den Promiscuous-Modus und Programme, bei denen Fehler auftreten. 

 -n, --anomalie

Hier können Sie die Ereignisse auswählen, die aus der Kette der Knotennamen stammen, um sie in den Berichten zu verarbeiten
Der Standardwert umfasst alle Knoten. Es sind mehrere Knoten zulässig. 

 --knoten knotenname

Bericht über aktuelle Prozesse 
 -p, --pid

Bericht über Reaktionen auf Anomalienereignisse 
 -r, --antwort

Bericht über Syscalls 
 -s, --syscall

Wählen Sie nur erfolgreiche Ereignisse für die Verarbeitung in Berichten aus
Der Standardwert ist zufriedenstellend. 

 --erfolg

Führen Sie einen zusammenfassenden Bericht aus, der alle Elemente des Hauptberichts enthält 
 --Resume

Diese Option zeigt einen Bericht über die Start- und Endzeiten der einzelnen Datensätze an. 
 -t, --log

Suchen Sie nach Ereignissen mit Zeitstempeln, die der angegebenen Endzeit entsprechen oder davor liegen.
Das Format der Endzeit hängt von der regionalen Konfiguration ab. Wenn das Datum weggelassen wird, wird es heute angenommen. Wenn die Zeit weggelassen wird, wird dies jetzt angenommen. Wir können die 24-Stunden-Uhr anstelle von AM oder PM verwenden, um die Zeit anzugeben. Denken Sie daran, dass es möglich ist, Wörter wie “jetzt”, “aktuell”, “heute”, “gestern”, “diese Woche”, “diese Woche”, “diesen Monat” und “dieses Jahr” zu verwenden. Heute heißt jetzt anfangen. Zuletzt war es vor 10 Minuten. Gestern ist 1 Sekunde nach Mitternacht am Vortag. Diese Woche beginnt 1 Sekunde nach Mitternacht am Tag 0 der Woche, der von Ihrem Standort bestimmt wird (siehe Ortszeit). Dieser Monat bedeutet 1 Sekunde nach Mitternacht am 1. des Monats. Dieses Jahr bedeutet 1 Sekunde nach Mitternacht am ersten Tag des ersten Monats. 

 -te, --end [Enddatum] [Endzeit]

Informieren Sie sich über Terminals 
 -tm, --terminal

Suchen Sie nach Ereignissen mit Zeitstempeln, die gleich oder nach der angegebenen Endzeit liegen
Das Format der Endzeit hängt von der regionalen Konfiguration ab. Wenn das Datum weggelassen wird, wird es heute angenommen. Wenn die Zeit weggelassen wird, wird von Mitternacht ausgegangen. Wir können 24 Stunden anstelle von AM oder PM einstellen, um die Uhrzeit festzulegen. 

 -ts, --start [Startdatum] [Start]

Informieren Sie über Benutzer 
 -u, --user

Drucken Sie die Version und beenden Sie das Dienstprogramm 
 -v, --version

Berichte über ausführbare Dateien 
 -x, --ausführbar

erstelle-aktenberichte-audit-aureport-de-Centos-7-6.png

Schließlich können wir man aureport ausführen, um allgemeine Hilfe vom Dienstprogramm zu erhalten. Auf diese Weise können wir sehen, wie dieses Dienstprogramm es uns ermöglicht, detaillierte Berichte zu allen Prüfungsthemen in Linux-Umgebungen zu erstellen, in diesem Fall zu CentOS 7, und somit eine viel umfassendere Verwaltung von Serverereignissen vorzunehmen.

See also  Verschieben Sie installierte Programme auf ein anderes Windows 10-Laufwerk

administrator

More Posts

Leave a Reply

Your email address will not be published. Required fields are marked *