Kako upitati evidenciju revizije koristeći 'ausearch' alat na CentOS/RHEL

U našem posljednjem članku objasnili smo kako izvršiti reviziju RHEL ili CentOS sistema pomoću uslužnog programa auditd. Sistem revizije (auditd) je sveobuhvatan sistem evidentiranja i ne koristi syslog po tom pitanju. Takođe dolazi sa skupom alata za upravljanje sistemom revizije kernela, kao i za pretraživanje i izradu izveštaja na osnovu informacija u fajlovima evidencije.

U ovom vodiču ćemo objasniti kako koristiti ausearch alat za preuzimanje podataka iz auditd log fajlova na RHEL i CentOS baziranim Linux distribucijama.

Pročitajte također: 4 dobra alata za praćenje i upravljanje dnevnikom otvorenog koda za Linux

Kao što smo ranije spomenuli, sistem revizije ima korisnički prostor revizorski demon (auditd) koji prikuplja informacije vezane za sigurnost na osnovu unaprijed konfiguriranih pravila, iz kernela i generira unose u log fajl.

Šta je ausearch?

ausearch je jednostavan alat za komandnu liniju koji se koristi za pretraživanje datoteka dnevnika revizorskog demona na osnovu događaja i različitih kriterija pretraživanja kao što su identifikator događaja, identifikator ključa, arhitektura procesora, ime komande, ime hosta, ime grupe ili ID grupe , sistemski poziv, poruke i dalje. Takođe prihvata sirove podatke sa stdin-a.

Prema zadanim postavkama, ausearch ispituje datoteku /var/log/audit/audit.log, koju možete vidjeti kao i svaki drugi tekstualni fajl.

cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less

Na gornjoj snimci ekrana možete vidjeti mnogo podataka iz datoteke evidencije što otežava dobivanje specifičnih informacija od interesa.

Stoga vam je potrebna ausearch, koja omogućava pretraživanje informacija na moćniji i efikasniji način koristeći sljedeću sintaksu.

ausearch [options]

Provjerite evidenciju pokretanja procesa u datoteci dnevnika revizije

Oznaka -p se koristi za prosljeđivanje ID-a procesa.

ausearch -p 2317

Provjerite neuspjele pokušaje prijave u Auditd Log File

Ovdje trebate koristiti opciju -m za identifikaciju određenih poruka i -sv da definirate vrijednost uspjeha.

ausearch -m USER_LOGIN -sv no

Pronađite aktivnost korisnika u datoteci dnevnika revizije

-ua se koristi za prosljeđivanje korisničkog imena.

ausearch -ua tecmint
OR
ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Za upit o radnjama koje je izvršio određeni korisnik u datom vremenskom periodu, koristite -ts za datum/vrijeme početka i -te za određivanje datuma/vremena završetka na sljedeći način ( imajte na umu da možete koristiti riječi kao što su sada, nedavno, danas, jučer, ove sedmice, prije tjedan dana, ovog mjeseca, ove godine, kao i kontrolna tačka umjesto stvarnih formata vremena).

ausearch -ua tecmint -ts yesterday -te now -i

Više primjera o traženju radnji od strane datog korisnika na sistemu.

ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i

Pronađite izmjene korisničkih računa, grupa i uloga u Dnevnicima revizije

Ako želite da pregledate sve sistemske promjene u vezi s korisničkim nalozima, grupama i ulogama; navedite različite tipove poruka razdvojenih zarezima kao u naredbi ispod (pazite na listu razdvojenih zarezima, ne ostavljajte razmak između zareza i sljedeće stavke):

ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Pretražite datoteku dnevnika revizije koristeći ključnu vrijednost

Uzmite u obzir pravilo revizije ispod koje će evidentirati sve pokušaje pristupa ili modifikacije /etc/passwd baze podataka korisničkih naloga.

auditctl -w /etc/passwd -p rwa -k passwd_changes

Sada pokušajte da otvorite gornju datoteku za uređivanje i zatvorite je, kako slijedi.

vi /etc/passwd

Samo zato što znate da je zapis u dnevnik snimljen o tome, možda biste vidjeli posljednje dijelove datoteke dnevnika pomoću tail komande na sljedeći način:

tail /var/log/audit/audit.log

Šta ako je nedavno snimljeno nekoliko drugih događaja, pronalaženje konkretnih informacija bi bilo tako teško, ali koristeći ausearch, možete proslijediti zastavicu -k sa ključnom vrijednošću koju ste naveli u pravilu revizije da vidite sve poruke dnevnika u vezi sa događajima koji se odnose na pristup ili modificiranje datoteke /etc/passwd.

Ovo će također prikazati napravljene promjene konfiguracije - definiranje pravila revizije.

ausearch -k passwd_changes | less

Za više informacija i mogućnosti korištenja, pročitajte priručnik stranicu ausearch:

man ausearch

Da biste saznali više o reviziji Linux sistema i upravljanju dnevnikom, pročitajte sljedeće povezane članke.

  1. Petiti – alat za analizu dnevnika otvorenog koda za Linux SysAdmins
  2. Nadgledanje serverskih prijava u realnom vremenu pomoću alata “Log.io” na RHEL/CentOS 7/6
  3. Kako postaviti i upravljati rotacijom dnevnika koristeći Logrotate u Linuxu
  4. lnav – Gledajte i analizirajte Apache zapise sa Linux terminala

U ovom vodiču smo opisali kako koristiti ausearch za preuzimanje podataka iz auditd log fajla na RHEL-u i CentOS-u. Ako imate bilo kakvih pitanja ili razmišljanja za podijeliti, koristite odjeljak za komentare da nas kontaktirate.

U našem sljedećem članku ćemo objasniti kako kreirati izvještaje iz datoteka evidencije revizije koristeći aureport u RHEL/CentOS/Fedora.