CentOS/RHEL で「aureport」を使用して監査ログからレポートを作成する方法
この記事は、Linux 監査に関する継続的なシリーズです。過去 2 つの記事では、Linux システム (CentOS と RHEL) をインストールして監査する方法と、次を使用してログをクエリする方法を説明しました。 ausearchユーティリティ。
この 3 番目のパートでは、CentOS および RHEL ベースの Linux ディストリビューションの aureport ユーティリティを使用して監査ログ ファイルからレポートを生成する方法について説明します。
こちらもお読みください: Linux ツールセットを使用してシステム アクティビティ レポートを作成および配信する方法
オーレレポートとは何ですか?
aureport は、/var/log/audit/ に保存されている監査ログ ファイルから有用な概要レポートを作成するために使用されるコマンド ライン ユーティリティです。 ausearch と同様に、標準入力から生のログ データも受け入れます。
これは使いやすいユーティリティです。以下の例に示すように、必要な特定の種類のレポートのオプションを渡すだけです。
監査ルールキーに関するレポートの作成
aurepot コマンドは、-k フラグを使用して、監査ルールで指定したすべてのキーに関するレポートを生成します。
aureport -k
-i オプションを使用して、数値エンティティのテキストへの解釈 (たとえば、UID をアカウント名に変換) を有効にできます。
aureport -k -i
試行された認証に関するレポートの作成
すべてのユーザーの試行された認証に関連するすべてのイベントに関するレポートが必要な場合は、-au オプションを使用します。
aureport -au
OR
aureport -au -i
ログインに関するレポートの作成
-l オプションは、次のようにすべてのログインのレポートを生成するように aureport に指示します。
システム上で失敗したイベントをレポートする
次のコマンドは、失敗したすべてのイベントをレポートする方法を示しています。
aureport --failed
指定された期間の概要レポートを生成する
指定した期間のレポートを生成することもできます。 -ts は開始日時を定義し、-te は終了日時を設定します。実際の時間形式の代わりに、今、最近、今日、昨日、今週、一週間前、今月、今年などの単語を使用することもできます。
aureport -ts 09/19/2017 15:20:00 -te now --summary -i
OR
aureport -ts yesterday -te now --summary -i
別の監査ログ ファイルからレポートを作成する
/var/log/audit ディレクトリ内のデフォルトのログ ファイル以外の別のファイルからレポートを作成する場合は、 -if フラグを使用してファイルを指定します。
このコマンドは、/var/log/tecmint/hosts/node1.log に記録されたすべてのログインを報告します。
aureport -l -if /var/log/tecmint/hosts/node1.log
すべてのオプションと詳細情報は、aureport のマニュアル ページで見つけることができます。
man aureport
以下は、Linux のログ管理およびレポート生成ツールに関する記事のリストです。
- Linux 向けの 4 つの優れたオープンソース ログ監視および管理ツール
- SARG – Squid 分析レポート ジェネレーターおよびインターネット帯域幅監視ツール
- Smem – Linux のプロセスごとおよびユーザーごとのメモリ消費量をレポートします
- システム ログを管理する方法 (構成、ローテーション、データベースへのインポート)
このチュートリアルでは、RHEL/CentOS/Fedora の監査ログ ファイルから概要レポートを生成する方法を示しました。このガイドに関する質問や意見を共有するには、以下のコメント セクションを使用してください。
次に、「autrace」ユーティリティを使用して特定のプロセスを監査する方法を示します。それまでは Tecmint にロックしておきます。