Cómo consultar los registros de auditoría utilizando la herramienta 'ausearch' en CentOS / RHEL


En nuestro último artículo, hemos explicado cómo auditar el sistema RHEL o CentOS mediante la utilidad auditd. El sistema de auditoría ( auditd ) es un sistema de registro completo y no utiliza syslog para esa materia. También viene con un conjunto de herramientas para administrar el sistema de auditoría del kernel, así como para buscar y producir informes a partir de la información en los archivos de registro.

En este tutorial, explicaremos cómo usar la herramienta ausearch para recuperar datos de los archivos de registro de auditd en una distribución de Linux basada en RHEL y CentOS.

Como mencionamos anteriormente, el sistema de auditoría tiene un espacio de usuario demonio de auditoría ( auditd ) que recopila información relacionada con la seguridad basada en reglas preconfiguradas, desde el núcleo y Genera entradas en un archivo de registro.

ausearch es una sencilla herramienta de línea de comandos que se utiliza para buscar los archivos de registro del daemon de auditoría según los eventos y los diferentes criterios de búsqueda, como el identificador del evento, el identificador de clave, la arquitectura de la CPU, el nombre del comando, el nombre del host, el nombre del grupo o el ID del grupo , syscall, mensajes y más allá. También acepta datos en bruto de la entrada estándar.

De forma predeterminada, ausearch consulta el archivo /var/log/audit/audit.log , que puede ver como cualquier otro archivo de texto.

# cat /var/log/audit/audit.log
OR
# cat /var/log/audit/audit.log | less

En la captura de pantalla anterior, puede ver gran cantidad de datos del archivo de registro, lo que dificulta obtener información de interés específica.

Por lo tanto, necesita ausearch , que permite buscar información de una manera más potente y eficiente utilizando la siguiente sintaxis.

# ausearch [options]

El indicador -p se utiliza para pasar una ID de proceso.

# ausearch -p 2317

Aquí, debe usar la opción -m para identificar mensajes específicos y -sv para definir el valor de éxito.

# ausearch -m USER_LOGIN -sv no 

La -ua se utiliza para pasar un nombre de usuario .

# ausearch -ua tecmint
OR
# ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Para consultar las acciones realizadas por un determinado usuario en un período de tiempo determinado, use -ts para la fecha/hora de inicio y -te para especificar la fecha/hora de finalización de la siguiente manera ( tenga en cuenta que puede usar palabras como ahora, reciente, hoy, ayer, esta semana, hace una semana, este mes, este año, así como el punto de control en lugar de los formatos de hora reales).

# ausearch -ua tecmint -ts yesterday -te now -i 

Más ejemplos sobre la búsqueda de acciones por un usuario determinado en el sistema.

# ausearch -ua 1000 -ts this-week -i
# ausearch -ua tecmint -m USER_LOGIN -sv no -i

Si desea revisar todos los cambios del sistema relacionados con las cuentas de usuario, grupos y roles; especifique varios tipos de mensajes separados por comas como en el siguiente comando (tenga cuidado de la lista separada por comas, no deje espacio entre una coma y el siguiente elemento):

# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Considere la siguiente regla de auditoría que registrará cualquier intento de acceder o modificar la base de datos de cuentas de usuario /etc/passwd .

# auditctl -w /etc/passwd -p rwa -k passwd_changes

Ahora, intente abrir el archivo anterior para editarlo y ciérrelo de la siguiente manera.

# vi /etc/passwd

Solo porque sabe que se ha registrado una entrada de registro sobre esto, posiblemente vería las últimas partes del archivo de registro con el comando de cola de la siguiente manera:

# tail /var/log/audit/audit.log

¿Qué pasa si se han registrado varios otros eventos recientemente, encontrar la información específica sería muy difícil, pero al utilizar ausearch , puede pasar el indicador -k con el valor clave que especificó en la regla de auditoría para ver todos los mensajes de registro relacionados con eventos relacionados con acceder o modificar el archivo /etc/passwd .

Esto también mostrará los cambios de configuración realizados, la definición de las reglas de auditoría.

# ausearch -k passwd_changes | less

Para obtener más información y opciones de uso, lea la página de manual de ausearch:

# man ausearch

Para obtener más información sobre la auditoría del sistema Linux y la administración de registros, lea los siguientes artículos relacionados.

  1. Petiti – An Open Source Log Analysis Tool for Linux SysAdmins
  2. Monitor Server Logs in Real-Time with “Log.io” Tool on RHEL/CentOS 7/6
  3. How to Setup and Manage Log Rotation Using Logrotate in Linux
  4. lnav – Watch and Analyze Apache Logs from a Linux Terminal

En este tutorial, describimos cómo utilizar ausearch para recuperar datos de un archivo de registro auditd en RHEL y CentOS. Si tiene preguntas o pensamientos para compartir, use la sección de comentarios para comunicarse con nosotros.

En nuestro próximo artículo, explicaremos cómo crear informes a partir de archivos de registro de auditoría usando aureport en RHEL/CentOS/Fedora.