Como criar relatórios de registro de auditoria aureport no Centos 7

Como criar relatórios de registro de auditoria aureport no Centos 7

O monitoramento constante de nossos servidores garante sua integridade e funcionalidade em todos os momentos, especialmente quando se trata de servidores em ambientes produtivos. A realização de auditorias de segurança periódicas ao sistema garante-nos estarmos atualizados e um passo à frente face às possíveis ameaças e vulnerabilidades que o sistema possa apresentar.

As auditorias devem ser tomadas como uma tarefa frequente dentro da área de TI, a fim de evitar ações muito mais radicais no futuro que afetem funções, serviços ou elementos dos usuários.

Agora, o Solvetic vai indicar como podemos gerar relatórios de auditoria que são vitais para reuniões de gestão, apoios ou logs de eventos que ocorrem em um servidor, neste caso estamos a falar do CentOS 7.

O que é aureportO utilitário aureport foi projetado para nos permitir gerar relatórios concretos e vitais sobre os eventos registrados nos arquivos de log de auditoria.

Por padrão, todos os arquivos audit.log alojados no diretório / var / log / audit / são consultados para criar o relatório. No relatório, será possível especificar um arquivo diferente para executar o relatório usando o comando aureport -if nome do arquivo.

Aureport nos oferece várias alternativas de uso e cada uma nos dará um resultado diferente, essas opções são as seguintes.

1. Criar relatório sobre as chaves do aureport de regras de auditoria


Se usarmos o parâmetro -k, aureport irá produzir um relatório sobre todas as chaves definidas nas regras de auditoria.

Sua execução é: 

 aureport -k
Seu resultado é o seguinte:

Lá podemos ver informações detalhadas indicando a data, hora e evento que ocorreu. É possível habilitar a interpretação de entidades numéricas em texto (como a conversão de UID em nome de conta) usando a opção -i: 

 aureport -k -i

2. Criar relatório sobre tentativas de autenticação no sistema aureport


É possível que por motivos de segurança e controle necessitemos de um relatório de todos os eventos relacionados às tentativas de autenticação de todos os usuários do CentOS 7, para isso utilizaremos o parâmetro -au. 
 aureport -au aureport -au -i
O resultado será o seguinte:

3. Gerar relatórios associados a logins aureport


Graças ao parâmetro -l será possível dizer ao aureport para gerar um relatório de todos os logins no CentOS 7.
Vamos executar o seguinte: 
 aureport -l
O resultado obtido será o seguinte:

Podemos ver em detalhes a data e hora dos logins.

4. Gerar relatório de eventos com falha no sistema aureport


Se quisermos obter um relatório dos eventos com erro no CentOS 7, que é prático saber em detalhes qual evento e quando foi gerado, podemos executar o seguinte: 
 aureport - falhou

Podemos ver as categorias de eventos com a respectiva quantidade.

5. Gerar um relatório por um período de tempo especificado aureport


Com o aureport é possível gerar relatórios para um determinado período de tempo; O parâmetro -ts define a data e hora de início, e o valor -te define uma data e hora de término.

Além disso, é possível usar palavras como agora, recente, hoje, ontem, esta semana, esta semana, este mês, este ano em vez dos formatos de tempo real.

Podemos executar linhas como: 

 aureport -ts 20/09/2017 08:00:00 -te agora --summary -i aureport -ts today -te now --summary -i

6. Gerar relatórios usando um aureport de arquivo de log diferente


É possível criar um relatório usando um arquivo diferente dos arquivos de log padrão no diretório / var / log / audit, para isso devemos usar o sinalizador -if para nos referir ao arquivo: 
 aureport -l -if /var/log/solvetic/hosts/node3.log
Outros parâmetros úteis para usar com aureport são:

Relatórios sobre tentativas de autenticação 

 -au, --auth

Relatório sobre mensagens avc 
 -a, --avc

Reportar alterações de configuração 

 -c, --config

Relatório sobre eventos criptográficos 

 -cr, --crypto

Relatório de eventos 

 -e, --event

Relatório sobre arquivos 
 -f, --file

Selecione eventos com falha para processar em relatórios 
 --fracassado

Relatórios sobre hosts 

 -h, --host

Imprime um resumo do comando a ser executado 

 --ajuda

Interpretar entidades numéricas em textoPor exemplo, uid se torna um nome de conta. A conversão é feita usando os recursos atuais da máquina onde a pesquisa está sendo executada 

 -i, --interpret
.

Faz uso do arquivo indicadoIsso ajuda a analisar quando os registros foram movidos para outra máquina ou apenas parte de um registro foi salva. 

 -if, --input file

Usa a localização do arquivo de log auditd.conf como entrada para análiseIsso é necessário se você estiver usando aureport de um cron job. 

 --input-logs

Relatórios sobre chaves de regra de auditoria 

 -k, --key

Relatórios sobre logins 

 -l, --login

Relatório sobre modificações da conta 

 -m, --mods

Relatórios sobre eventos de controle de acesso obrigatório (MAC) 

 -ma, --mac

Relatórios sobre eventos de anomaliaEsses eventos incluem NICs tornando-se promíscuos e programas de segfaulting. 

 -n, --anomaly

Permite que você selecione os eventos originados da sequência de nomes de nós para processar em relatóriosO padrão é incluir todos os nós. Vários nós são permitidos. 

 --node nome-do-nó

Relatório sobre os processos atuais 

 -p, --pid

Relatórios de respostas a eventos de falha 

 -r, --response

Relatório sobre syscalls 

 -s, --syscall

Selecione apenas eventos de sucesso para processamento em relatóriosO padrão é bem-sucedido. 

 --sucesso

Executa um relatório resumido que fornece um total dos principais itens do relatório 

 --summarizes

Esta opção exibe um relatório dos horários de início e término de cada registro. 

 -t, --log

Pesquisa eventos com carimbos de data / hora iguais ou anteriores ao horário de término fornecido.O formato da hora de término depende de sua localidade. Se a data for omitida, hoje será assumido. Se o tempo for omitido, agora será assumido. Podemos usar o relógio de 24 horas em vez de AM ou PM para especificar a hora. Lembre-se de que é possível usar palavras como: agora, recente, hoje, ontem, esta semana, semana, este mês, este ano. Hoje significa começar agora. O recente foi há 10 minutos. Ontem é 1 segundo depois da meia-noite do dia anterior. Esta semana significa começar 1 segundo após a meia-noite do 0º dia da semana determinado pela sua localização (consulte a hora local). Este mês significa 1 segundo após a meia-noite do primeiro dia do mês. Este ano significa 1 segundo após a meia-noite do primeiro dia do primeiro mês. 

 -te, --end [end-date] [end-time]

Informa sobre terminais 

 -tm, --terminal

Pesquisa eventos com carimbos de data / hora iguais ou posteriores ao horário de término fornecidoO formato da hora de término depende de sua localidade. Se a data for omitida, hoje será assumido. Se a hora for omitida, será considerada meia-noite. Podemos usar o relógio de 24 horas em vez de AM ou PM para especificar a hora. 
 -ts, --start [data de início] [início]

Informar sobre os usuários 

 -u, --user

Imprima a versão e saia do utilitário 

 -v, --version

Relatório sobre executáveis 

 -x, --executable

Finalmente, para obter ajuda geral do utilitário, podemos executar o man aureport. Desta forma, podemos ver como este utilitário nos permite gerar relatórios detalhados sobre todos os problemas de auditoria em ambientes Linux, neste caso CentOS 7, e assim realizar uma administração muito mais completa dos eventos do servidor.

Você vai ajudar o desenvolvimento do site, compartilhando a página com seus amigos

wave wave wave wave wave

Publicações Populares

wave
1
post-title
Como ocultar um arquivo em uma imagem
2
post-title
Como ocultar os botões de navegação do Huawei Mate 20 Pro
3
post-title
Como verificar o espaço no disco rígido do Linux
4
post-title
Os melhores drones de 2016
5
post-title
Como colocar música em um vídeo do Instagram

Recomendado

wave
- Sponsored Ad -

Escolha Do Editor

wave
- Sponsored Ad -