CentOS / RHELで「aureport」を使用して監査ログからレポートを作成する方法


この記事は、Linuxシステムのインストールと監査の方法( CentOS RHEL )、およびログを使用したクエリの実行方法について説明した前回の2回の記事で、Linux監査に関する現在進行中のシリーズです。 ausearchユーティリティ。

この第3部では、 CentOS および RHEL ベースのLinuxディストリビューションの aureport ユーティリティを使用して監査ログファイルからレポートを生成する方法について説明します。

aureport は、/var/log/audit/に保存されている監査ログファイルから便利なサマリーレポートを作成するためのコマンドラインユーティリティです。 ausearch のように、標準入力から生ログデータも受け付けます。

それは使いやすいユーティリティです。以下の例に示すように、必要な特定の種類のレポートのオプションを渡すだけです。

aurepot コマンドは、 -k フラグを使用して、監査ルールで指定したすべてのキーに関するレポートを作成します。

# aureport -k 

-i オプションを使用して、数値エンティティのテキストへの解釈を有効にできます(たとえば、UIDをアカウント名に変換できます)。

# aureport -k -i

すべてのユーザーに対して試行された認証に関連するすべてのイベントに関するレポートが必要な場合は、 -au オプションを使用してください。

# aureport -au 
OR
# aureport -au -i

-l オプションを指定すると、aureportはすべてのログインのレポートを次のように生成します。

次のコマンドは、失敗したすべてのイベントを報告する方法を示しています。

# aureport --failed

指定した期間のレポートを生成することも可能です。 -ts は開始日時を定義し、 -te は終了日時を設定します。実際の時間形式の代わりに、今、最近、今日、昨日、今週、今週、今月、今年のような単語を使用することもできます。

# aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
# aureport -ts yesterday -te now --summary -i 

/var/log/audit ディレクトリにあるデフォルトのログファイル以外の別のファイルからレポートを作成する場合は、 -if フラグを使用してファイルを指定します。

このコマンドは /var/log/tecmint/hosts/node1.log に記録されたすべてのログインを報告します。

# aureport -l -if /var/log/tecmint/hosts/node1.log 

すべてのオプションと詳細情報は aureport のmanページにあります。

# man aureport

以下は、Linuxでのログ管理とレポート生成ツールに関する記事のリストです。

  1. 4 Good Open Source Log Monitoring and Management Tools for Linux
  2. SARG – Squid Analysis Report Generator and Internet Bandwidth Monitoring Tool
  3. Smem – Reports Memory Consumption Per-Process and Per-User Basis in Linux
  4. How to Manage System Logs (Configure, Rotate and Import Into Database)

このチュートリアルでは、RHEL/CentOS/Fedoraの監査ログファイルから要約レポートを生成する方法を示しました。以下のコメント欄を使用して、このガイドに関する質問や意見を共有してください。

次に、[ autrace ]ユーティリティを使用して特定のプロセスを監査する方法を説明します。それまでは、Tecmintにロックしてください。