So erstellen Sie Aureport-Überwachungsprotokollberichte in Centos 7

So erstellen Sie Aureport-Überwachungsprotokollberichte in Centos 7 | Linux / Unix 2024
So erstellen Sie Aureport-Überwachungsprotokollberichte in Centos 7 | Linux / Unix 2024

Die ständige Überwachung unserer Server gewährleistet jederzeit deren Integrität und Funktionsfähigkeit, insbesondere bei Servern in Produktivumgebungen. Die regelmäßige Durchführung von Sicherheitsüberprüfungen des Systems garantiert uns, auf dem neuesten Stand zu sein und angesichts möglicher Bedrohungen und Schwachstellen des Systems einen Schritt voraus zu sein.

Audits sollten im IT-Bereich als häufige Aufgabe wahrgenommen werden, um in Zukunft viel radikalere Aktionen zu verhindern, die Benutzerrollen, Dienste oder Elemente betreffen.

Jetzt zeigt Solvetic, wie wir Audit-Berichte erstellen können, die für Management-Meetings, Support oder Protokolle von Ereignissen, die auf einem Server auftreten, von entscheidender Bedeutung sind. In diesem Fall handelt es sich um CentOS 7.

Was ist AureportDas Dienstprogramm aureport wurde entwickelt, um es uns zu ermöglichen, konkrete und wichtige Berichte über die in den Audit-Protokolldateien aufgezeichneten Ereignisse zu erstellen.

Standardmäßig werden alle audit.log-Dateien im Verzeichnis /var/log/audit/ abgefragt, um den Bericht zu erstellen. Im Bericht wird es möglich sein, eine andere Datei anzugeben, für die der Bericht ausgeführt wird, indem der Befehl aureport -if Dateiname verwendet wird.

Aureport bietet uns verschiedene Alternativen für die Verwendung und jede wird uns ein anderes Ergebnis liefern. Diese Optionen sind wie folgt.

1. Erstellen Sie einen Bericht zu den Schlüsseln der Audit-Regel aureport


Wenn wir den Parameter -k verwenden, erstellt aureport einen Bericht über alle in den Auditregeln definierten Schlüssel.

Seine Ausführung ist: 

 Aureport -k
Sein Ergebnis ist folgendes:

Dort sehen wir detaillierte Informationen zu Datum, Uhrzeit und Ereignis. Es ist möglich, die Interpretation von numerischen Entitäten in Texten zu aktivieren (z. B. die UID in den Kontonamen umzuwandeln) mit der Option -i: 

 Aureport -k -i

2. Bericht über Authentifizierungsversuche im areport-System erstellen


Es ist möglich, dass wir aus Sicherheits- und Kontrollgründen einen Bericht über alle Ereignisse im Zusammenhang mit den Authentifizierungsversuchen aller Benutzer in CentOS 7 benötigen. Dazu verwenden wir den Parameter -au. 
 Aureport -au Aureport -au -i
Das Ergebnis wird folgendes sein:

3. Erstellen Sie Berichte, die mit Aureport-Anmeldungen verknüpft sind


Dank des Parameters -l wird es möglich sein, aureport anzuweisen, einen Bericht über alle Anmeldungen in CentOS 7 zu erstellen.
Wir werden Folgendes ausführen: 
 Aureport -l
Das erhaltene Ergebnis wird folgendes sein:

Wir können das Datum und die Uhrzeit der Anmeldungen im Detail sehen.

4. Bericht über fehlgeschlagene Ereignisse im Aureport-System erstellen


Wenn wir einen Bericht über die fehlerhaften Ereignisse in CentOS 7 erhalten möchten, der praktisch ist, um im Detail zu wissen, welches Ereignis und wann es generiert wurde, können wir Folgendes ausführen: 
 Aureport - fehlgeschlagen

Wir sehen die Kategorien der Ereignisse mit dem jeweiligen Betrag.

5. Erstellen Sie einen Bericht für einen bestimmten Zeitraum areport


Mit aureport ist es möglich, Berichte für einen bestimmten Zeitraum zu erstellen; Der Parameter -ts definiert das Startdatum und die Startzeit, und der Wert -te legt ein Enddatum und eine Endzeit fest.

Außerdem ist es möglich, Wörter wie jetzt, aktuell, heute, gestern, diese Woche, diese Woche, diesen Monat, dieses Jahr anstelle der Echtzeitformate zu verwenden.

Wir können Zeilen ausführen wie: 

 aureport -ts 20.09.2017 08:00:00 -te jetzt --summary -i aureport -ts heute -te jetzt --summary -i

6. Berichte mit einer anderen Protokolldatei erstellen aureport


Es ist möglich, einen Bericht mit einer anderen Datei als den Standardprotokolldateien im Verzeichnis / var / log / audit zu erstellen. Dazu müssen wir das Flag -if verwenden, um auf die Datei zu verweisen: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
Andere nützliche Parameter, die mit Aureport verwendet werden können, sind:

Berichte über Authentifizierungsversuche 

 -au, --auth

AVC-Nachrichten melden 
 -a, --avc

Konfigurationsänderungen melden 

 -c, --config

Bericht über Krypto-Ereignisse 

 -cr, --crypto

Bericht über Ereignisse 

 -e, --event

Bericht über Dateien 
 -f, --file

Wählen Sie fehlgeschlagene Ereignisse aus, die in Berichten verarbeitet werden sollen 
 --gescheitert

Berichte über Gastgeber 

 -h, --host

Druckt eine Zusammenfassung des auszuführenden Befehls 

 --Hilfe

Numerische Entitäten im Text interpretierenUid wird beispielsweise zu einem Kontonamen. Die Konvertierung erfolgt mit den aktuellen Ressourcen des Computers, auf dem die Suche ausgeführt wird 

 -i, --interpret
.

Verwendet die angegebene DateiDies hilft bei der Analyse, wenn Datensätze auf einen anderen Computer verschoben wurden oder nur ein Teil eines Datensatzes gespeichert wurde. 

 -if, --input-Datei

Verwendet den Speicherort der Protokolldatei auditd.conf als Eingabe für die AnalyseDies ist notwendig, wenn Sie aureport von einem Cron-Job verwenden. 

 --input-logs

Berichte zu Prüfregelschlüsseln 

 -k, --key

Berichte über Logins 

 -l, --login

Bericht über Kontoänderungen 

 -m, --mods

Berichte zu Ereignissen der obligatorischen Zugangskontrolle (MAC) 

 -ma, --mac

Berichte über AnomalieereignisseZu diesen Ereignissen gehören NICs, die promiskuitiv werden, und Segfaulting-Programme. 

 -n, --anomalie

Ermöglicht die Auswahl der Ereignisse, die aus der Kette von Knotennamen stammen, um sie in Berichten zu verarbeitenStandardmäßig werden alle Knoten eingeschlossen. Mehrere Knoten sind zulässig. 

 --node Knotenname

Bericht über aktuelle Prozesse 

 -p, --pid

Berichte über Reaktionen auf Fehlerereignisse 

 -r, --response

Bericht über Systemaufrufe 

 -s, --syscall

Wählen Sie nur erfolgreiche Ereignisse zur Verarbeitung in Berichten ausDie Standardeinstellung ist erfolgreich. 

 --Erfolg

Führt einen zusammenfassenden Bericht aus, der eine Summe der wichtigsten Berichtselemente enthält 

 --faßt zusammen

Diese Option zeigt einen Bericht über die Start- und Endzeiten jedes Datensatzes an. 

 -t, --log

Sucht nach Ereignissen mit Zeitstempeln, die gleich oder älter als die angegebene Endzeit sind.Das Endzeitformat hängt von Ihrem Gebietsschema ab. Wird das Datum weggelassen, wird der heutige Tag angenommen. Wenn die Zeit weggelassen wird, wird sie jetzt angenommen. Wir können die 24-Stunden-Uhr anstelle von AM oder PM verwenden, um die Uhrzeit anzugeben. Denken Sie daran, dass es möglich ist, Wörter zu verwenden wie: jetzt, kürzlich, heute, gestern, diese Woche, Woche, diesen Monat, dieses Jahr. Heute bedeutet, jetzt anzufangen. Zuletzt ist es 10 Minuten her. Gestern ist 1 Sekunde nach Mitternacht des Vortages. Diese Woche bedeutet, dass Sie 1 Sekunde nach Mitternacht am 0. Tag der Woche beginnen, der von Ihrem Standort bestimmt wird (siehe Ortszeit). Dieser Monat bedeutet 1 Sekunde nach Mitternacht am 1. des Monats. Dieses Jahr bedeutet 1 Sekunde nach Mitternacht am ersten Tag des ersten Monats. 

 -te, --end [Enddatum] [Endzeit]

Informiert über Terminals 

 -tm, --terminal

Sucht nach Ereignissen mit Zeitstempeln gleich oder später als die angegebene EndzeitDas Endzeitformat hängt von Ihrem Gebietsschema ab. Wird das Datum weggelassen, wird der heutige Tag angenommen. Wird die Uhrzeit weggelassen, wird Mitternacht angenommen. Wir können die 24-Stunden-Uhr anstelle von AM oder PM verwenden, um die Uhrzeit anzugeben. 
 -ts, --start [Startdatum] [Start]

Über Benutzer informieren 

 -u, --user

Drucken Sie die Version und beenden Sie das Dienstprogramm 

 -v, --version

Bericht über ausführbare Dateien 

 -x, --ausführbare

Um allgemeine Hilfe vom Dienstprogramm zu erhalten, können wir schließlich man aureport ausführen. Auf diese Weise können wir sehen, wie dieses Dienstprogramm es uns ermöglicht, detaillierte Berichte zu allen Audit-Problemen in Linux-Umgebungen, in diesem Fall CentOS 7, zu erstellen und somit eine viel umfassendere Verwaltung von Serverereignissen durchzuführen.

wave wave wave wave wave

Beliebte Beiträge

wave
1
post-title
So installieren und verwenden Sie KVM zum Verwalten von Cloud-Images unter Linux
2
post-title
Zurücksetzen und vergessenes Windows 10-Passwort entfernen, ohne Hirens BootCD PE zu formatieren
3
post-title
So entfernen Sie den Mobilfunkanbieternamen Huawei P smart + Plus
4
post-title
▷ Partition Disk C Windows 10 ohne SSD und HDD formatieren - EINFACH und OHNE PROGRAMME
5
post-title
So aktivieren Sie die automatische Antwort auf Facebook-Nachrichten

Empfohlen

wave
- Sponsored Ad -

Tipp Der Redaktion

wave
- Sponsored Ad -