ວິທີການສອບຖາມບັນທຶກການກວດສອບໂດຍໃຊ້ເຄື່ອງມືຄົ້ນຫາໃນ CentOS/RHEL
ໃນບົດຂຽນສຸດທ້າຍຂອງພວກເຮົາ, ພວກເຮົາໄດ້ອະທິບາຍວິທີການກວດສອບລະບົບ RHEL ຫຼື CentOS ໂດຍ ນຳ ໃຊ້ອຸປະກອນກວດສອບ. ລະບົບການກວດສອບ (auditd) ແມ່ນລະບົບການຕັດໄມ້ທີ່ສົມບູນແບບແລະບໍ່ໃຊ້ syslog ສຳ ລັບເລື່ອງນັ້ນ. ມັນຍັງມາພ້ອມກັບຊຸດເຄື່ອງມື ສຳ ລັບການຄຸ້ມຄອງລະບົບການກວດສອບລະບົບ kernel ເຊັ່ນດຽວກັນກັບການຄົ້ນຫາແລະຜະລິດບົດລາຍງານຈາກຂໍ້ມູນຕ່າງໆໃນແຟ້ມບັນທຶກ.
ໃນບົດແນະ ນຳ ນີ້, ພວກເຮົາຈະອະທິບາຍວິທີການ ນຳ ໃຊ້ເຄື່ອງມືຄົ້ນຫາເພື່ອເອົາຂໍ້ມູນຈາກເອກະສານບັນທຶກການກວດສອບໃນການ ຈຳ ໜ່າຍ Linux ທີ່ໃຊ້ RHEL ແລະ CentOS.
ດັ່ງທີ່ພວກເຮົາໄດ້ກ່າວມາກ່ອນ ໜ້າ ນີ້, ລະບົບການກວດສອບມີ daemon-audit space (ຜູ້ກວດສອບ) ທີ່ລວບລວມຂໍ້ມູນທີ່ກ່ຽວຂ້ອງກັບຄວາມປອດໄພໂດຍອີງໃສ່ກົດລະບຽບທີ່ໄດ້ ກຳ ນົດໄວ້ກ່ອນ, ຈາກແກ່ນແລະສ້າງລາຍການເຂົ້າໃນແຟ້ມບັນທຶກ.
ausearch ແມ່ນເຄື່ອງມືບັນທັດ ຄຳ ສັ່ງງ່າຍໆທີ່ໃຊ້ໃນການຄົ້ນຫາເອກະສານບັນທຶກ daemon audit ໂດຍອີງໃສ່ເຫດການແລະເງື່ອນໄຂການຄົ້ນຫາທີ່ແຕກຕ່າງກັນເຊັ່ນ: ຕົວລະບຸເຫດການ, ຕົວລະຫັດທີ່ ສຳ ຄັນ, ສະຖາປັດຕະຍະ ກຳ CPU, ຊື່ ຄຳ ສັ່ງ, ຊື່ໂຮດ, ຊື່ກຸ່ມຫລື ID ກຸ່ມ, syscall, ຂໍ້ຄວາມແລະອື່ນໆ. ມັນຍັງຍອມຮັບຂໍ້ມູນດິບຈາກ stdin.
ໂດຍໃນຕອນຕົ້ນ, ausearch ສອບຖາມເອກະສານ /var/log/audit/audit.log, ເຊິ່ງທ່ານສາມາດເບິ່ງຄືກັນກັບເອກະສານຂໍ້ຄວາມອື່ນໆ.
# cat /var/log/audit/audit.log OR # cat /var/log/audit/audit.log | less
ຈາກພາບ ໜ້າ ຈໍຂ້າງເທິງ, ທ່ານສາມາດເຫັນຂໍ້ມູນຫຼາຍຢ່າງຈາກເອກະສານບັນທຶກເຮັດໃຫ້ມັນຍາກທີ່ຈະໄດ້ຮັບຂໍ້ມູນທີ່ ໜ້າ ສົນໃຈສະເພາະ.
ດັ່ງນັ້ນທ່ານຕ້ອງການການຄົ້ນຫາ, ເຊິ່ງຊ່ວຍໃຫ້ການຄົ້ນຫາຂໍ້ມູນດ້ວຍວິທີທີ່ມີປະສິດທິພາບແລະມີປະສິດທິພາບຫຼາຍຂື້ນໂດຍໃຊ້ syntax ຕໍ່ໄປນີ້.
# ausearch [options]
ທຸງ -p ຖືກໃຊ້ເພື່ອຜ່ານບັດ ID ຂອງຂະບວນການ.
# ausearch -p 2317
ໃນທີ່ນີ້, ທ່ານ ຈຳ ເປັນຕ້ອງໃຊ້ຕົວເລືອກ -m ເພື່ອ ກຳ ນົດຂໍ້ຄວາມສະເພາະແລະ -sv ເພື່ອ ກຳ ນົດມູນຄ່າຄວາມ ສຳ ເລັດ.
# ausearch -m USER_LOGIN -sv no
the -ua ໃຊ້ເພື່ອຜ່ານຊື່ຜູ້ໃຊ້.
# ausearch -ua tecmint OR # ausearch -ua tecmint -i # enable interpreting of numeric entities into text.
ເພື່ອສອບຖາມການກະ ທຳ ຂອງຜູ້ໃຊ້ສະເພາະໃດ ໜຶ່ງ ຈາກໄລຍະເວລາໃດ ໜຶ່ງ, ໃຫ້ໃຊ້ -ts ສຳ ລັບວັນທີເລີ່ມຕົ້ນແລະເວລາແລະ -te ເພື່ອລະບຸວັນທີ/ເວລາສິ້ນສຸດລົງດັ່ງຕໍ່ໄປນີ້ ( ໃຫ້ສັງເກດວ່າທ່ານສາມາດໃຊ້ ຄຳ ສັບຕ່າງໆເຊັ່ນ: ປະຈຸບັນ, ບໍ່ດົນມານີ້, ມື້ນີ້, ມື້ນີ້, ມື້ນີ້, ອາທິດນີ້, ອາທິດກ່ອນ ໜ້າ ນີ້, ເດືອນນີ້, ປີນີ້ພ້ອມທັງດ່ານກວດກາແທນຮູບແບບເວລາຈິງ).
# ausearch -ua tecmint -ts yesterday -te now -i
ຕົວຢ່າງເພີ່ມເຕີມກ່ຽວກັບການຊອກຫາການກະ ທຳ ຂອງຜູ້ໃຊ້ໃນລະບົບ.
# ausearch -ua 1000 -ts this-week -i # ausearch -ua tecmint -m USER_LOGIN -sv no -i
ຖ້າທ່ານຕ້ອງການທົບທວນການປ່ຽນແປງຂອງລະບົບທັງ ໝົດ ທີ່ຕ້ອງເຮັດກັບບັນຊີຜູ້ໃຊ້, ກຸ່ມແລະພາລະບົດບາດ; ລະບຸປະເພດຂໍ້ຄວາມທີ່ແຍກກັນໂດຍຂັ້ນຕອນ, ເຊັ່ນໃນ ຄຳ ສັ່ງຂ້າງລຸ່ມ
# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE -i
ພິຈາລະນາກົດລະບຽບການກວດສອບດ້ານລຸ່ມເຊິ່ງຈະບັນທຶກຄວາມພະຍາຍາມໃດໆໃນການເຂົ້າເຖິງຫຼືດັດແປງຖານຂໍ້ມູນບັນຊີຜູ້ໃຊ້/etc/passwd.
# auditctl -w /etc/passwd -p rwa -k passwd_changes
ຕອນນີ້, ລອງເປີດເອກະສານຂ້າງເທິງເພື່ອແກ້ໄຂແລະປິດມັນ, ດັ່ງຕໍ່ໄປນີ້.
# vi /etc/passwd
ພຽງແຕ່ຍ້ອນວ່າທ່ານຮູ້ວ່າບັນທຶກການບັນທຶກໄດ້ຖືກບັນທຶກກ່ຽວກັບເລື່ອງນີ້, ທ່ານອາດຈະເບິ່ງພາກສ່ວນສຸດທ້າຍຂອງແຟ້ມບັນທຶກດ້ວຍ ຄຳ ສັ່ງຫາງດັ່ງຕໍ່ໄປນີ້:
# tail /var/log/audit/audit.log
ຈະເປັນແນວໃດຖ້າເຫດການອື່ນໆໄດ້ຖືກບັນທຶກໄວ້ເມື່ອບໍ່ດົນມານີ້, ການຊອກຫາຂໍ້ມູນສະເພາະເຈາະຈົງຈະເປັນການຍາກຫຼາຍ, ແຕ່ວ່າການ ນຳ ໃຊ້ການຄົ້ນຫາ, ທ່ານສາມາດຜ່ານທຸງ -k ດ້ວຍຄ່າທີ່ທ່ານໄດ້ລະບຸໄວ້ໃນກົດລະບຽບການກວດສອບເພື່ອເບິ່ງທັງ ໝົດ ເຂົ້າສູ່ລະບົບຂໍ້ຄວາມທີ່ກ່ຽວຂ້ອງກັບເຫດການຕ່າງໆທີ່ກ່ຽວຂ້ອງກັບການເຂົ້າເຖິງຫລືດັດແກ້/etc/passwd file.
ສິ່ງນີ້ຍັງຈະສະແດງການປ່ຽນແປງການຕັ້ງຄ່າທີ່ໄດ້ ກຳ ນົດໂດຍກົດລະບຽບຂອງການກວດສອບ.
# ausearch -k passwd_changes | less
ສຳ ລັບຂໍ້ມູນເພີ່ມເຕີມແລະທາງເລືອກໃນການ ນຳ ໃຊ້, ອ່ານ ໜ້າ man ausearch:
# man ausearch
ເພື່ອຮູ້ກ່ຽວກັບການກວດສອບແລະການຄຸ້ມຄອງລະບົບ Linux, ໃຫ້ອ່ານບົດຄວາມທີ່ກ່ຽວຂ້ອງດັ່ງຕໍ່ໄປນີ້.
<
ໃນບົດແນະ ນຳ ນີ້, ພວກເຮົາໄດ້ອະທິບາຍວິທີການໃຊ້ ausearch ເພື່ອດຶງເອົາຂໍ້ມູນຈາກເອກະສານບັນທຶກການກວດສອບໃນ RHEL ແລະ CentOS. ຖ້າທ່ານມີ ຄຳ ຖາມຫຼືຄວາມຄິດໃດຢາກແບ່ງປັນ, ໃຫ້ ນຳ ໃຊ້ພາກ ຄຳ ເຫັນເພື່ອຕິດຕໍ່ຫາພວກເຮົາ.
ໃນບົດຂຽນຕໍ່ໄປຂອງພວກເຮົາ, ພວກເຮົາຈະອະທິບາຍວິທີການສ້າງບົດລາຍງານຈາກເອກະສານບັນທຶກການກວດສອບໂດຍໃຊ້ aureport ໃນ RHEL/CentOS/Fedora.