Kif Tistaqsi zkuk tal-Verifika Bl-użu ta 'Ausearch Tool fuq CentOS/RHEL

Fl-aħħar artiklu tagħna, spjegajna kif tivverifika s-sistema RHEL jew CentOS billi tuża l-utilità auditd. Is-sistema ta 'awditjar (auditd) hija sistema ta' qtugħ komprensiva u ma tużax syslog għal dik il-kwistjoni. Jiġi wkoll b'sett ta' għodda għall-ġestjoni tas-sistema tal-awditjar tal-qalba kif ukoll għat-tiftix u l-produzzjoni ta' rapporti minn informazzjoni fil-fajls tar-reġistru.

F'dan it-tutorja, se nispjegaw kif nużaw l-għodda ta 'tfittxija biex tirkupra data minn fajls ta' log awditjati fuq distribuzzjonijiet Linux ibbażati fuq RHEL u CentOS.

Kif semmejna aktar kmieni, is-sistema tal-awditjar għandha daemon tal-awditjar tal-ispazju tal-utent (auditd) li jiġbor informazzjoni relatata mas-sigurtà bbażata fuq regoli kkonfigurati minn qabel, mill-kernel u tiġġenera entrati f'fajl tal-ġurnal.

ausearch hija għodda sempliċi tal-linja tal-kmand użata biex tfittex il-fajls log tad-daemon tal-verifika bbażati fuq avvenimenti u kriterji ta 'tfittxija differenti bħal identifikatur tal-avveniment, identifikatur ewlieni, arkitettura tas-CPU, isem tal-kmand, hostname, isem tal-grupp jew ID tal-grupp, syscall, messaġġi u lil hinn. Jaċċetta wkoll data mhux ipproċessata minn stdin.

B'mod awtomatiku, ausearch jistaqsi l-fajl /var/log/audit/audit.log, li tista' tara bħal kull fajl test ieħor.

# cat /var/log/audit/audit.log
OR
# cat /var/log/audit/audit.log | less

Mill-screenshot ta 'hawn fuq, tista' tara ħafna dejta mill-fajl tal-ġurnal li jagħmilha diffiċli biex tikseb informazzjoni speċifika ta 'interess.

Għalhekk għandek bżonn ausearch, li jippermetti t-tiftix ta' informazzjoni b'mod aktar qawwi u effiċjenti bl-użu tas-sintassi li ġejja.

# ausearch [options]

Il-marka -p tintuża biex tgħaddi ID tal-proċess.

# ausearch -p 2317

Hawnhekk, għandek bżonn tuża l-għażla -m biex tidentifika messaġġi speċifiċi u -sv biex tiddefinixxi l-valur tas-suċċess.

# ausearch -m USER_LOGIN -sv no

Il--ua jintuża biex jgħaddi username.

# ausearch -ua tecmint
OR
# ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Biex tfittex azzjonijiet imwettqa minn ċertu utent minn perjodu ta' żmien partikolari, uża l--ts għad-data/ħin tal-bidu u -te biex tispeċifika d-data/ħin tat-tmiem kif ġej ( innota li tista’ tuża kliem bħal issa, riċenti, illum, bieraħ, din il-ġimgħa, ġimgħa ilu, dan ix-xahar, din is-sena kif ukoll punt ta’ kontroll minflok formati ta’ ħin attwali).

# ausearch -ua tecmint -ts yesterday -te now -i

Aktar eżempji dwar it-tiftix għal azzjonijiet minn utent partikolari fuq is-sistema.

# ausearch -ua 1000 -ts this-week -i
# ausearch -ua tecmint -m USER_LOGIN -sv no -i

Jekk trid tirrevedi l-bidliet kollha tas-sistema li għandhom x'jaqsmu mal-kontijiet tal-utenti, il-gruppi u r-rwoli; speċifika diversi tipi ta' messaġġi separati bil-virgola bħal fil-kmand ta' hawn taħt (ħu ħsieb il-lista separata bil-virgola, ħalli l-ebda spazju bejn virgola u l-oġġett li jmiss):

# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Ikkunsidra r-regola tal-awditjar hawn taħt li tirreġistra kull tentattiv biex taċċessa jew timmodifika d-database tal-kontijiet tal-utent /etc/passwd.

# auditctl -w /etc/passwd -p rwa -k passwd_changes

Issa, ipprova tiftaħ il-fajl ta 'hawn fuq għall-editjar u agħlaq, kif ġej.

# vi /etc/passwd

Sempliċement għax taf li ġiet irreġistrata dħul fil-log dwar dan, possibbilment tara l-aħħar partijiet tal-fajl log bil-kmand tad-denb kif ġej:

# tail /var/log/audit/audit.log

X'jiġri jekk reċentement ġew irreġistrati diversi avvenimenti oħra, li ssib l-informazzjoni speċifika tkun daqshekk diffiċli, iżda billi tuża ausearch, tista' tgħaddi l-marka -k bil-valur ewlieni li speċifikajt fir-regola tal-awditjar biex tara kollha log messaġġi li jikkonċernaw avvenimenti li għandhom x'jaqsmu ma 'aċċess jew modifika tal-fajl /etc/passwd.

Dan se juri wkoll il-bidliet fil-konfigurazzjoni li tiddefinixxi r-regoli tal-verifika.

# ausearch -k passwd_changes | less

Għal aktar informazzjoni u għażliet ta’ użu, aqra l-paġna man ausearch:

# man ausearch

Biex tkun taf aktar dwar l-awditjar tas-sistema Linux u l-ġestjoni tal-log, aqra dawn l-artikoli relatati li ġejjin.

  1. Petiti – Għodda ta' Analiżi ta' Log Sors Miftuħ għal SysAdmins tal-Linux
  2. Immonitorja r-Reġistri tas-Server f'Ħin Real bl-Għodda \Log.io fuq RHEL/CentOS 7/6
  3. Kif Issettja u Immaniġġja r-Rotazzjoni tal-Logg billi tuża Logrotate fil-Linux
  4. lnav – Ara u Analizza l-Apache Logs minn Terminal Linux

F'dan it-tutorja, iddeskrivejna kif tuża l-ausearch biex tirkupra dejta minn fajl log auditd fuq RHEL u CentOS. Jekk għandek xi mistoqsijiet jew ħsibijiet x'taqsam, uża t-taqsima tal-kummenti biex tilħaqna.

Fl-artiklu li jmiss tagħna, aħna ser nispjegaw kif noħolqu rapporti minn fajls ta 'log tal-verifika billi tuża aureport f'RHEL/CentOS/Fedora.