如何在 CentOS/RHEL 上使用“aureport”从审核日志创建报告
本文是我们正在进行的有关 Linux 审核的系列文章,在前两篇文章中,我们解释了如何安装和审核 Linux 系统(CentOS 和 RHEL)以及如何使用查询日志ausearch 实用程序。
在第三部分中,我们将解释如何在基于 CentOS 和 RHEL 的 Linux 发行版中使用 aureport 实用程序从审核日志文件生成报告。
另请阅读:如何使用 Linux 工具集生成和交付系统活动报告
aureport是什么?
aureport 是一个命令行实用程序,用于从存储在 /var/log/audit/ 中的审核日志文件创建有用的摘要报告。与ausearch一样,它也接受来自标准输入的原始日志数据。
它是一个易于使用的实用程序;只需传递您需要的特定类型报告的选项,如下面的示例所示。
创建有关审核规则键的报告
aurepot 命令将使用 -k 标志生成有关您在审核规则中指定的所有密钥的报告。
aureport -k
您可以使用 -i 选项将数字实体解释为文本(例如将 UID 转换为帐户名)。
aureport -k -i
创建有关尝试身份验证的报告
如果您需要有关与所有用户尝试进行身份验证相关的所有事件的报告,请使用 -au 选项。
aureport -au
OR
aureport -au -i
生成有关登录的报告
-l 选项告诉 aureport 生成所有登录的报告,如下所示。
报告系统上的失败事件
以下命令显示如何报告所有失败事件。
aureport --failed
生成给定时间段的摘要报告
还可以生成指定时间段的报告; -ts 定义开始日期/时间,-te 设置结束日期/时间。您还可以使用现在、最近、今天、昨天、本周、一周前、本月、今年等词语来代替实际时间格式。
aureport -ts 09/19/2017 15:20:00 -te now --summary -i
OR
aureport -ts yesterday -te now --summary -i
从不同的审核日志文件生成报告
如果要从 /var/log/audit 目录中的默认日志文件以外的其他文件创建报告,请使用 -if 标志来指定该文件。
此命令报告 /var/log/howtoing/hosts/node1.log 中记录的所有登录。
aureport -l -if /var/log/tecmint/hosts/node1.log
您可以在 aureport 手册页中找到所有选项和更多信息。
man aureport
以下是有关 Linux 中的日志管理和报告生成工具的文章列表:
- 4 个优秀的 Linux 开源日志监控和管理工具
- SARG – Squid 分析报告生成器和互联网带宽监控工具
- Smem – 报告 Linux 中每个进程和每个用户的内存消耗
- 如何管理系统日志(配置、轮换和导入数据库)
在本教程中,我们展示了如何从 RHEL/CentOS/Fedora 中的审核日志文件生成摘要报告。使用下面的评论部分提出任何问题或分享有关本指南的任何想法。
接下来,我们将展示如何使用“autrace”实用程序审核特定进程,在此之前,请保持锁定到 Tecmint。