Búsqueda de sitios web

Cómo crear informes a partir de registros de auditoría usando 'aureport' en CentOS/RHEL

Este artículo es nuestra serie continua sobre auditoría de Linux. En nuestros dos últimos artículos hemos explicado cómo instalar y auditar sistemas Linux (CentOS y RHEL) y cómo consultar registros utilizando utilidad ausearch.

En esta tercera parte, explicaremos cómo generar informes a partir de archivos de registro de auditoría utilizando la utilidad aureport en distribuciones de Linux basadas en CentOS y RHEL.

Lea también: Cómo producir y entregar informes de actividad del sistema utilizando conjuntos de herramientas de Linux

¿Qué es aureport?

aureport es una utilidad de línea de comandos que se utiliza para crear informes resumidos útiles a partir de los archivos de registro de auditoría almacenados en /var/log/audit/. Al igual que ausearch, también acepta datos de registro sin procesar de la entrada estándar.

Es una utilidad fácil de usar; simplemente pase una opción para un tipo específico de informe que necesite, como se muestra en los ejemplos siguientes.

Crear informe sobre claves de reglas de auditoría

El comando aurepot producirá un informe sobre todas las claves que especificó en las reglas de auditoría, utilizando el indicador -k.

aureport -k

Puede habilitar la interpretación de entidades numéricas en texto (por ejemplo, convertir UID en nombre de cuenta) usando la opción -i.

aureport -k -i

Crear informe sobre intentos de autenticación

Si necesita un informe sobre todos los eventos relacionados con intentos de autenticación para todos los usuarios, utilice la opción -au.

aureport -au 
OR
aureport -au -i

Elaborar un informe sobre los inicios de sesión

La opción -l le dice a aureport que genere un informe de todos los inicios de sesión de la siguiente manera.

Informar eventos fallidos en el sistema

El siguiente comando muestra cómo informar todos los eventos fallidos.

aureport --failed

Generar informe resumido para un período de tiempo determinado

También es posible generar informes por un período de tiempo específico; -ts define la fecha/hora de inicio y -te establece una fecha/hora de finalización. También puede utilizar palabras como ahora, reciente, hoy, ayer, esta semana, hace una semana, este mes, este año en lugar de formatos de hora reales.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i

Producir informe a partir de un archivo de registro de auditoría diferente

Si desea crear un informe a partir de un archivo diferente a los archivos de registro predeterminados en el directorio /var/log/audit, utilice el indicador -if para especificar el archivo.

Este comando informa todos los inicios de sesión registrados en /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log

Puede encontrar todas las opciones y más información en la página de manual de aureport.

man aureport

A continuación se muestra una lista de artículos relacionados con la gestión de registros y las herramientas de generación de informes en Linux:

  1. 4 buenas herramientas de gestión y supervisión de registros de código abierto para Linux
  2. SARG: generador de informes de análisis Squid y herramienta de monitoreo del ancho de banda de Internet
  3. Smem: informa el consumo de memoria por proceso y por usuario en Linux
  4. Cómo administrar los registros del sistema (configurar, rotar e importar a la base de datos)

En este tutorial, mostramos cómo generar informes resumidos a partir de archivos de registro de auditoría en RHEL/CentOS/Fedora. Utilice la sección de comentarios a continuación para hacer cualquier pregunta o compartir cualquier idea sobre esta guía.

A continuación, mostraremos cómo auditar un proceso específico usando la utilidad 'autrace'; hasta entonces, manténgase bloqueado en Tecmint.