ວິທີການສ້າງລາຍງານຈາກບັນທຶກການກວດສອບໂດຍໃຊ້ 'aureport' ໃນ CentOS/RHEL

ບົດຂຽນນີ້ແມ່ນຊຸດຂອງພວກເຮົາທີ່ ກຳ ລັງ ດຳ ເນີນຢູ່ໃນບັນທຶກການສອບຖາມໂດຍໃຊ້ປະໂຫຍດຂອງ ausearch.

ໃນພາກທີສາມນີ້, ພວກເຮົາຈະອະທິບາຍວິທີການສ້າງບົດລາຍງານຈາກເອກະສານບັນທຶກການກວດສອບໂດຍໃຊ້ປະໂຫຍດ aureport ໃນ CentOS ແລະການແຈກຈ່າຍ Linux ທີ່ອີງໃສ່ RHEL.

aureport ແມ່ນຜົນປະໂຫຍດເສັ້ນ ຄຳ ສັ່ງທີ່ໃຊ້ ສຳ ລັບສ້າງບົດລາຍງານສະຫຼຸບສັງລວມທີ່ມີປະໂຫຍດຈາກເອກະສານບັນທຶກການກວດສອບທີ່ເກັບໄວ້ໃນ/var/log/audit /. ເຊັ່ນດຽວກັນກັບ ausearch, ມັນຍັງຍອມຮັບຂໍ້ມູນບັນທຶກດິບຈາກ stdin.

ມັນເປັນສິ່ງ ອຳ ນວຍຄວາມສະດວກທີ່ສາມາດ ນຳ ໃຊ້ໄດ້ງ່າຍ; ພຽງແຕ່ຜ່ານທາງເລືອກ ສຳ ລັບບົດລາຍງານສະເພາະໃດ ໜຶ່ງ ທີ່ທ່ານຕ້ອງການ, ດັ່ງທີ່ສະແດງຢູ່ໃນຕົວຢ່າງຂ້າງລຸ່ມນີ້.

ຄຳ ສັ່ງຂອງ aurepot ຈະສ້າງບົດລາຍງານກ່ຽວກັບຄີທັງ ໝົດ ທີ່ທ່ານລະບຸໃນກົດລະບຽບການກວດສອບ, ໂດຍໃຊ້ທຸງ -k .

# aureport -k

ທ່ານສາມາດເຮັດໃຫ້ການຕີຄວາມ ໝາຍ ຂອງຫົວ ໜ່ວຍ ເປັນຕົວເລກເຂົ້າໄປໃນຕົວ ໜັງ ສື (ຕົວຢ່າງ: ປ່ຽນ UID ເປັນຊື່ບັນຊີ) ໂດຍໃຊ້ຕົວເລືອກ -i .

# aureport -k -i

ຖ້າທ່ານຕ້ອງການລາຍງານກ່ຽວກັບເຫດການທັງ ໝົດ ທີ່ກ່ຽວຂ້ອງກັບຄວາມພະຍາຍາມກວດສອບຄວາມຖືກຕ້ອງ ສຳ ລັບຜູ້ໃຊ້ທັງ ໝົດ, ໃຫ້ໃຊ້ຕົວເລືອກ -au .

# aureport -au 
OR
# aureport -au -i

ຕົວເລືອກ -l ບອກ aureport ໃຫ້ສ້າງລາຍງານຂອງການເຂົ້າສູ່ລະບົບທັງ ໝົດ ດັ່ງຕໍ່ໄປນີ້.

ຄຳ ສັ່ງຕໍ່ໄປນີ້ສະແດງວິທີການລາຍງານທຸກເຫດການທີ່ລົ້ມເຫລວ.

# aureport --failed

ມັນຍັງເປັນໄປໄດ້ທີ່ຈະສ້າງບົດລາຍງານໃນໄລຍະເວລາທີ່ ກຳ ນົດ; -ts ກຳ ນົດວັນທີ/ເວລາເລີ່ມຕົ້ນແລະ -te ກຳ ນົດວັນທີ/ເວລາສິ້ນສຸດ. ທ່ານຍັງສາມາດໃຊ້ ຄຳ ສັບຕ່າງໆເຊັ່ນ: ປະຈຸບັນ, ບໍ່ດົນມານີ້, ມື້ນີ້, ມື້ວານນີ້, ອາທິດນີ້, ອາທິດກ່ອນ ໜ້າ ນີ້, ເດືອນນີ້, ປີນີ້ແທນຮູບແບບເວລາຕົວຈິງ.

# aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
# aureport -ts yesterday -te now --summary -i

ຖ້າທ່ານຕ້ອງການສ້າງບົດລາຍງານຈາກເອກະສານອື່ນທີ່ແຕກຕ່າງຈາກແຟ້ມບັນທຶກແບບເລີ່ມຕົ້ນໃນ/var/log/audit directory, ໃຫ້ ນຳ ໃຊ້ທຸງ -if ເພື່ອ ກຳ ນົດເອກະສານ.

ຄຳ ສັ່ງນີ້ລາຍງານການເຂົ້າສູ່ລະບົບທັງ ໝົດ ທີ່ບັນທຶກໄວ້ໃນ /var/log/tecmint/hosts/node1.log.

# aureport -l -if /var/log/tecmint/hosts/node1.log

ທ່ານສາມາດຊອກຫາຕົວເລືອກທັງ ໝົດ ແລະຂໍ້ມູນເພີ່ມເຕີມໃນ ໜ້າ ຊາຍ aureport.

# man aureport

ຂ້າງລຸ່ມນີ້ແມ່ນບັນຊີຂອງບົດຄວາມທີ່ກ່ຽວຂ້ອງກັບການຄຸ້ມຄອງໄມ້ທ່ອນ, ແລະລາຍງານເຄື່ອງມືການຜະລິດໃນ Linux:

<

  • 4 ເຄື່ອງມືກວດສອບແລະເຂົ້າສູ່ລະບົບການຄຸ້ມຄອງບັນທຶກເປີດທີ່ດີ ສຳ ລັບ Linux
  • SARG - ເຄື່ອງຈັກລາຍງານການວິເຄາະຂອງ Squid ແລະເຄື່ອງມືກວດສອບແບນວິດອິນເຕີເນັດ
  • Smem - ລາຍງານການຊົມໃຊ້ຄວາມ ຈຳ ຕໍ່ຂັ້ນຕອນແລະພື້ນຖານຕໍ່ຜູ້ໃຊ້ໃນ Linux
  • ວິທີການຈັດການບັນທຶກລະບົບ (ຕັ້ງຄ່າ, ໝຸນ ແລະ ນຳ ເຂົ້າຖານຂໍ້ມູນ)

    • ໃນບົດແນະ ນຳ ນີ້, ພວກເຮົາໄດ້ສະແດງວິທີການສ້າງບົດລາຍງານສະຫຼຸບສັງລວມຈາກເອກະສານບັນທຶກການກວດສອບໃນ RHEL/CentOS/Fedora. ໃຊ້ພາກ ຄຳ ເຫັນຂ້າງລຸ່ມນີ້ເພື່ອຖາມ ຄຳ ຖາມຫຼືແລກປ່ຽນຄວາມຄິດໃດໆກ່ຽວກັບ ຄຳ ແນະ ນຳ ນີ້.

    ຖັດໄປ, ພວກເຮົາຈະສະແດງວິທີການກວດສອບຂັ້ນຕອນສະເພາະໃດ ໜຶ່ງ ໂດຍໃຊ້ເຄື່ອງມື 'autrace', ຈົນກ່ວານັ້ນ, ຍັງຄົງຮັກສາໄວ້ຢູ່ Tecmint.