Cómo crear informes a partir de registros de auditoría utilizando "aureport" en CentOS/RHEL


Este artículo es nuestra serie en curso sobre registros de consultas que utilizan una utilidad de búsqueda.

En esta tercera parte, explicaremos cómo generar informes a partir de archivos de registro de auditoría utilizando la utilidad aureport en distribuciones de Linux basadas en CentOS y RHEL.

aureport es una utilidad de línea de comandos que se utiliza para crear informes resumidos útiles a partir de los archivos de registro de auditoría almacenados en/var/log/audit /. Al igual que ausearch, también acepta datos de registro sin procesar de stdin.

Es una utilidad fácil de usar; simplemente pase una opción para un tipo específico de informe que necesite, como se muestra en los ejemplos a continuación.

El comando aurepot producirá un informe sobre todas las claves que especificó en las reglas de auditoría, utilizando la marca -k .

# aureport -k 

Puede habilitar la interpretación de entidades numéricas en texto (por ejemplo, convertir UID en nombre de cuenta) usando la opción -i .

# aureport -k -i

Si necesita un informe sobre todos los eventos relacionados con intentos de autenticación para todos los usuarios, use la opción -au .

# aureport -au 
OR
# aureport -au -i

La opción -l le dice a aureport que genere un informe de todos los inicios de sesión de la siguiente manera.

El siguiente comando muestra cómo informar todos los eventos fallidos.

# aureport --failed

También es posible generar informes para un período de tiempo específico; -ts define la fecha/hora de inicio y -te establece una fecha/hora de finalización. También puede usar palabras como ahora, reciente, hoy, ayer, esta semana, hace una semana, este mes, este año en lugar de los formatos de hora real.

# aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
# aureport -ts yesterday -te now --summary -i 

Si desea crear un informe a partir de un archivo diferente a los archivos de registro predeterminados en el directorio/var/log/audit, use la marca -if para especificar el archivo.

Este comando informa todos los inicios de sesión registrados en /var/log/tecmint/hosts/node1.log.

# aureport -l -if /var/log/tecmint/hosts/node1.log 

Puede encontrar todas las opciones y más información en la página de manual de aureport.

# man aureport

A continuación se muestra una lista de artículos relacionados con la gestión de registros y las herramientas de generación de informes en Linux:

  1. 4 buenas herramientas de gestión y supervisión de registros de código abierto para Linux
  2. SARG - Generador de informes de análisis de calamar y herramienta de monitoreo de ancho de banda de Internet
  3. Smem: informa el consumo de memoria por proceso y por usuario en Linux
  4. Cómo administrar los registros del sistema (configurar, rotar e importar a la base de datos)

En este tutorial, mostramos cómo generar informes resumidos a partir de archivos de registro de auditoría en RHEL/CentOS/Fedora. Utilice la sección de comentarios a continuación para hacer preguntas o compartir sus pensamientos sobre esta guía.

A continuación, mostraremos cómo auditar un proceso específico usando la utilidad "autrace", hasta entonces, manténgase bloqueado en Tecmint.