Cómo crear informes a partir de registros de auditoría usando 'aureport' en CentOS / RHEL


Este artículo es nuestra serie en curso sobre Auditoría de Linux, en nuestros dos últimos artículos explicamos cómo instalar y auditar sistemas Linux ( CentOS y RHEL ) y cómo consultar registros utilizando Utilidad de búsqueda.

En esta tercera parte, explicaremos cómo generar informes a partir de los archivos de registro de auditoría usando la utilidad aureport en CentOS y RHEL en las distribuciones de Linux.

aureport es una utilidad de línea de comandos que se utiliza para crear informes de resumen útiles a partir de los archivos de registro de auditoría almacenados en /var/log/audit/. Al igual que ausearch , también acepta datos de registro sin procesar de stdin.

Es una utilidad fácil de usar; simplemente pase una opción para un tipo específico de informe que necesita, como se muestra en los ejemplos a continuación.

El comando aurepot producirá un informe sobre todas las claves que especificó en las reglas de auditoría, utilizando el indicador -k .

# aureport -k 

Puede habilitar la interpretación de entidades numéricas en texto (por ejemplo, convertir UID en nombre de cuenta) usando la opción -i .

# aureport -k -i

Si necesita un informe sobre todos los eventos relacionados con intentos de autenticación para todos los usuarios, use la opción -au .

# aureport -au 
OR
# aureport -au -i

La opción -l le dice a aureport que genere un informe de todos los inicios de sesión de la siguiente manera.

El siguiente comando muestra cómo reportar todos los eventos fallidos.

# aureport --failed

También es posible generar informes durante un período de tiempo específico; El -ts define la fecha/hora de inicio y -te establece una fecha/hora de finalización. También puede usar palabras como ahora, reciente, hoy, ayer, esta semana, hace una semana, este mes, este año en lugar de los formatos de hora reales.

# aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
# aureport -ts yesterday -te now --summary -i 

Si desea crear un informe a partir de un archivo diferente a los archivos de registro predeterminados en el directorio /var/log/audit , use el indicador -if para especificar el archivo.

Este comando informa de todos los inicios de sesión registrados en /var/log/tecmint/hosts/node1.log .

# aureport -l -if /var/log/tecmint/hosts/node1.log 

Puede encontrar todas las opciones y más información en la página del manual de aureport .

# man aureport

A continuación se muestra una lista de artículos relacionados con la administración de registros y las herramientas de generación de informes en Linux:

  1. 4 Good Open Source Log Monitoring and Management Tools for Linux
  2. SARG – Squid Analysis Report Generator and Internet Bandwidth Monitoring Tool
  3. Smem – Reports Memory Consumption Per-Process and Per-User Basis in Linux
  4. How to Manage System Logs (Configure, Rotate and Import Into Database)

En este tutorial, mostramos cómo generar informes de resumen de los archivos de registro de auditoría en RHEL/CentOS/Fedora. Use la sección de comentarios a continuación para hacer preguntas o compartir alguna opinión sobre esta guía.

A continuación, le mostraremos cómo auditar un proceso específico usando la utilidad ‘ autrace ’, hasta ese momento, manténgalo bloqueado en Tecmint.