Búsqueda de sitios web

Cómo consultar registros de auditoría usando la herramienta 'ausearch' en CentOS/RHEL


En nuestro último artículo, explicamos cómo auditar el sistema RHEL o CentOS utilizando la utilidad auditd. El sistema de auditoría (auditd) es un sistema de registro integral y, de hecho, no utiliza syslog. También viene con un conjunto de herramientas para administrar el sistema de auditoría del kernel, así como para buscar y producir informes a partir de la información de los archivos de registro.

En este tutorial, explicaremos cómo utilizar la herramienta ausearch para recuperar datos de archivos de registro auditd en distribuciones de Linux basadas en RHEL y CentOS.

Lea también: 4 buenas herramientas de administración y monitoreo de registros de código abierto para Linux

Como mencionamos anteriormente, el sistema de auditoría tiene un demonio de auditoría de espacio de usuario (auditd) que recopila información relacionada con la seguridad basada en reglas preconfiguradas, desde el kernel y genera entradas en un archivo de registro.

¿Qué es Ausearch?

ausearch es una sencilla herramienta de línea de comandos que se utiliza para buscar archivos de registro del demonio de auditoría en función de eventos y diferentes criterios de búsqueda, como identificador de evento, identificador de clave, arquitectura de CPU, nombre de comando, nombre de host, nombre de grupo o ID de grupo. , syscall, mensajes y más. También acepta datos sin procesar de stdin.

De forma predeterminada, ausearch consulta el archivo /var/log/audit/audit.log, que puede ver como cualquier otro archivo de texto.

cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less

En la captura de pantalla anterior, puede ver muchos datos del archivo de registro, lo que dificulta la obtención de información específica de interés.

Por lo tanto necesita ausearch, que permite buscar información de una manera más potente y eficiente utilizando la siguiente sintaxis.

ausearch [options]

Verifique los registros de procesos en ejecución en el archivo de registro Auditd

El indicador -p se utiliza para pasar un ID de proceso.

ausearch -p 2317

Verifique los intentos fallidos de inicio de sesión en el archivo de registro Auditd

Aquí, debe utilizar la opción -m para identificar mensajes específicos y -sv para definir el valor de éxito.

ausearch -m USER_LOGIN -sv no 

Buscar actividad del usuario en el archivo de registro Auditd

El -ua se utiliza para pasar un nombre de usuario.

ausearch -ua tecmint
OR
ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Para consultar las acciones realizadas por un determinado usuario durante un período de tiempo determinado, utilice -ts para la fecha/hora de inicio y -te para especificar la fecha/hora de finalización de la siguiente manera ( tenga en cuenta que puede utilizar palabras como ahora, reciente, hoy, ayer, esta semana, hace una semana, este mes, este año y punto de control en lugar de formatos de hora reales).

ausearch -ua tecmint -ts yesterday -te now -i 

Más ejemplos sobre la búsqueda de acciones de un usuario determinado en el sistema.

ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i

Encuentre modificaciones a cuentas de usuario, grupos y roles en registros auditados

Si desea revisar todos los cambios del sistema relacionados con cuentas de usuario, grupos y roles; especifique varios tipos de mensajes separados por comas como en el siguiente comando (tenga cuidado con la lista separada por comas, no deje espacios entre una coma y el siguiente elemento):

ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Buscar archivo de registro de auditoría utilizando el valor clave

Considere la regla de auditoría a continuación que registrará cualquier intento de acceder o modificar la base de datos de cuentas de usuario /etc/passwd.

auditctl -w /etc/passwd -p rwa -k passwd_changes

Ahora, intente abrir el archivo anterior para editarlo y ciérrelo, de la siguiente manera.

vi /etc/passwd

Sólo porque sabe que se ha registrado una entrada de registro sobre esto, posiblemente pueda ver las últimas partes del archivo de registro con el comando tail de la siguiente manera:

tail /var/log/audit/audit.log

¿Qué pasa si se han registrado varios otros eventos recientemente? Encontrar la información específica sería muy difícil, pero usando ausearch, puede pasar el indicador -k con el valor clave que especificó. en la regla de auditoría para ver todos los mensajes de registro relacionados con eventos relacionados con el acceso o la modificación del archivo /etc/passwd.

Esto también mostrará los cambios de configuración realizados, definiendo las reglas de auditoría.

ausearch -k passwd_changes | less

Para obtener más información y opciones de uso, lea la página de manual de ausearch:

man ausearch

Para saber más sobre la auditoría del sistema Linux y la gestión de registros, lea los siguientes artículos relacionados.

  1. Petiti: una herramienta de análisis de registros de código abierto para administradores de sistemas Linux
  2. Supervise los registros del servidor en tiempo real con la herramienta “Log.io” en RHEL/CentOS 7/6
  3. Cómo configurar y administrar la rotación de registros usando Logrotate en Linux
  4. lnav: observe y analice los registros de Apache desde una terminal de Linux

En este tutorial, describimos cómo usar ausearch para recuperar datos de un archivo de registro auditado en RHEL y CentOS. Si tiene alguna pregunta o idea para compartir, utilice la sección de comentarios para comunicarse con nosotros.

En nuestro próximo artículo, explicaremos cómo crear informes a partir de archivos de registro de auditoría usando aureport en RHEL/CentOS/Fedora.