Centos 7'de aureport denetim günlüğü raporları nasıl oluşturulur?

Centos 7'de aureport denetim günlüğü raporları nasıl oluşturulur? | Linux / Unix 2024
Centos 7'de aureport denetim günlüğü raporları nasıl oluşturulur? | Linux / Unix 2024

Sunucularımızın sürekli izlenmesi, özellikle üretken ortamlardaki sunucular söz konusu olduğunda, bütünlüklerini ve işlevlerini her zaman garanti eder. Sisteme periyodik olarak güvenlik denetimleri yapmak, sistemin sahip olabileceği olası tehditler ve zafiyetler karşısında güncel ve bir adım önde olmamızı garanti eder.

Gelecekte kullanıcı rollerini, hizmetlerini veya öğelerini etkileyen çok daha radikal eylemleri önlemek için denetimler BT alanında sık yapılan bir görev olarak gerçekleştirilmelidir.

Şimdi Solvetic, yönetim toplantıları, destekler veya bir sunucuda meydana gelen olayların günlükleri için hayati önem taşıyan denetim raporlarını nasıl oluşturabileceğimizi gösterecek, bu durumda CentOS 7'den bahsediyoruz.

aureport nedirAureport yardımcı programı, denetim günlük dosyalarına kaydedilen olaylar hakkında somut ve hayati raporlar oluşturmamıza izin verecek şekilde tasarlanmıştır.

Varsayılan olarak, raporu oluşturmak için / var / log / denetim / dizininde bulunan tüm audit.log dosyaları sorgulanır. Raporda, aureport -if filename komutunu kullanarak raporu çalıştırmak için farklı bir dosya belirtmek mümkün olacaktır.

Aureport kullanımı için bize çeşitli alternatifler sunuyor ve her biri bize farklı bir sonuç verecektir, bu seçenekler aşağıdaki gibidir.

1. Denetim kuralı aureport'un anahtarları hakkında rapor oluşturun


-k parametresini kullanırsak, aureport denetim kurallarında tanımlanan tüm anahtarlar hakkında bir rapor üretecektir.

Yürütülmesi: 

 aureport -k
Bunun sonucu şudur:

Orada meydana gelen tarih, saat ve olayı gösteren ayrıntılı bilgileri görebiliriz. -i seçeneğini kullanarak metindeki sayısal varlıkların yorumlanmasını (UID'yi hesap adına dönüştürmek gibi) etkinleştirmek mümkündür: 

 aureport -k -i

2. Aureport sisteminde kimlik doğrulama girişimleri hakkında rapor oluşturun


Güvenlik ve kontrol nedenleriyle, CentOS 7'deki tüm kullanıcıların kimlik doğrulama girişimleriyle ilgili tüm olaylar hakkında bir rapora ihtiyacımız olabilir, bunun için -au parametresini kullanacağız. 
 aureport -au aureport -au -i
Sonuç aşağıdaki gibi olacaktır:

3. aureport girişleriyle ilişkili raporlar oluşturun


-l parametresi sayesinde, aureport'a CentOS 7'deki tüm oturum açmaların bir raporunu oluşturmasını söylemek mümkün olacaktır.
Aşağıdakileri uygulayacağız: 
 aureport -l
Elde edilen sonuç şu olacaktır:

Girişlerin tarih ve saatini detaylı olarak görebiliriz.

4. aureport sistemindeki başarısız olayların raporunu oluştur


Hangi olayın ve ne zaman oluşturulduğunu detaylı olarak bilmek pratik olan CentOS 7'deki hatalı olaylar hakkında bir rapor almak istiyorsak aşağıdakileri uygulayabiliriz: 
 aureport -başarısız

Etkinlik kategorilerini ilgili miktarlarla görebiliriz.

5. Belirli bir süre aureport için bir rapor oluşturun


aureport ile belirli bir süre için raporlar oluşturmak mümkündür; -ts parametresi başlangıç ​​tarihini ve saatini tanımlar ve -te değeri bir bitiş tarihi ve saati ayarlar.

Ayrıca gerçek zamanlı formatlar yerine şimdi, yakın zamanda, bugün, dün, bu hafta, bu hafta, bu ay, bu yıl gibi kelimeleri kullanmak mümkündür.

Aşağıdaki gibi satırları çalıştırabiliriz: 

 aureport -ts 20/09/2017 08:00:00 -te şimdi --özet -i aureport -ts bugün -te şimdi --özet -i

6. Farklı bir günlük dosyası aureport kullanarak raporlar oluşturun


/ var / log / denetim dizinindeki varsayılan günlük dosyaları dışında bir dosya kullanarak bir rapor oluşturmak mümkündür, bunun için dosyaya atıfta bulunmak için -if bayrağını kullanmalıyız: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
aureport ile kullanılacak diğer yararlı parametreler şunlardır:

Kimlik doğrulama girişimleriyle ilgili raporlar 

 -au, --auth

avc mesajları hakkında rapor 
 -a, --avc

Yapılandırma değişikliklerini bildir 

 -c, --config

Kripto olayları hakkında rapor 

 -cr, --kripto

Olaylar hakkında rapor 

 -e, --olay

Dosyalar hakkında rapor 
 -f, --dosya

Raporlarda işlenecek başarısız olayları seçin 
 --başarısız oldu

Ana bilgisayarlar hakkında raporlar 

 -h, --ana bilgisayar

Yürütülecek komutun bir özetini yazdırır 

 --Yardım

Metindeki sayısal varlıkları yorumlamaÖrneğin, kullanıcı kimliği bir hesap adı olur. Dönüştürme, aramanın çalıştığı makinenin mevcut kaynakları kullanılarak yapılır. 

 -i, --yorumlamak
.

Belirtilen dosyayı kullanırBu, kayıtlar başka bir makineye taşındığında veya bir kaydın yalnızca bir kısmı kaydedildiğinde analize yardımcı olur. 

 -if, --input dosyası

Analiz için girdi olarak auditd.conf günlük dosyasının konumunu kullanırBir cron işinden aureport kullanıyorsanız bu gereklidir. 

 --giriş günlükleri

Denetim kuralı anahtarlarıyla ilgili raporlar 

 -k, --key

Oturum açma raporları 

 -l, --login

Hesap değişiklikleri hakkında rapor 

 -m, --modlar

Zorunlu erişim denetimi (MAC) olaylarıyla ilgili raporlar 

 -ma, --mac

Anormal olaylarla ilgili raporlarBu olaylar, rastgele giden NIC'leri ve programları ayırmayı içerir. 

 -n, --anomali

Raporlarda işlenecek düğüm adları dizisinden kaynaklanan olayları seçmenize olanak tanırVarsayılan, tüm düğümleri dahil etmektir. Birden çok düğüme izin verilir. 

 --node düğüm-adı

Mevcut süreçler hakkında rapor 

 -p, --pid

Arıza olaylarına verilen yanıtlarla ilgili raporlar 

 -r, --yanıt

Sistem çağrıları hakkında rapor 

 -s, --sistem çağrısı

Raporlarda işlenmek üzere yalnızca başarılı olayları seçinVarsayılan başarılı. 

 --başarı

Ana rapor öğelerinin toplamını sağlayan bir özet raporu çalıştırır 

 --özetler

Bu seçenek, her kaydın başlangıç ​​ve bitiş zamanlarının bir raporunu görüntüler. 

 -t, --log

Belirtilen bitiş saatine eşit veya daha eski zaman damgalarına sahip etkinlikleri arar.Bitiş saati biçimi, yerel ayarınıza bağlıdır. Tarih atlanırsa, bugün varsayılır. Zaman atlanırsa, şimdi varsayılır. Saati belirtmek için AM veya PM yerine 24 saatlik saati kullanabiliriz. Şimdi, yakın zamanda, bugün, dün, bu hafta, hafta, bu ay, bu yıl gibi kelimelerin kullanılabileceğini unutmayın. Bugün, şimdi başlamak demektir. En son 10 dakika önce. Dün, önceki gün gece yarısından 1 saniye sonra. Bu hafta, bulunduğunuz yere göre belirlenen haftanın 0. gününde gece yarısından 1 saniye sonra başlamak anlamına gelir (yerel saate bakın). Bu ay, ayın 1'inde gece yarısından 1 saniye sonra anlamına gelir. Bu yıl, birinci ayın ilk günü gece yarısından 1 saniye sonra demektir. 

 -te, --end [bitiş tarihi] [bitiş zamanı]

Terminaller hakkında bilgi verir 

 -tm, --terminal

Verilen bitiş zamanına eşit veya daha sonra zaman damgaları olan olayları ararBitiş saati biçimi, yerel ayarınıza bağlıdır. Tarih atlanırsa, bugün varsayılır. Zaman atlanırsa, gece yarısı varsayılır. Saati belirtmek için AM veya PM yerine 24 saatlik saati kullanabiliriz. 
 -ts, --start [başlangıç ​​tarihi] [başlangıç]

Kullanıcılar hakkında bilgi verin 

 -u, --kullanıcı

Sürümü yazdırın ve yardımcı programdan çıkın 

 -v, --versiyon

Yürütülebilir dosyalar hakkında rapor 

 -x, --executable

Son olarak, yardımcı programdan genel yardım almak için man aureport'u çalıştırabiliriz. Bu şekilde, bu yardımcı programın Linux ortamlarındaki, bu durumda CentOS 7'deki tüm denetim sorunları hakkında ayrıntılı raporlar oluşturmamıza ve böylece sunucu olaylarının çok daha eksiksiz bir yönetimini gerçekleştirmemize nasıl izin verdiğini görebiliriz.

wave wave wave wave wave

Popüler Mesajlar

wave
1
post-title
WhatsApp'tan görüntülü görüşme yapmak artık iPhone ve Android'de mümkün
2
post-title
Googler Linux'ta nasıl kurulur ve kullanılır (komutlarla Google)
3
post-title
▷ Word Mac'te Dizin nasıl yapılır - İçindekiler
4
post-title
YouTube'da müzik için ödeme mi yapıyorsunuz? Reklamlardaki artışından dolayı, belki
5
post-title
Firefox Quantum'da ana sayfa ve yeni pencere nasıl değiştirilir?

Tavsiye

wave
- Sponsored Ad -

Editörün Seçimi

wave
- Sponsored Ad -