Kif Tistaqsi zkuk tal-Verifika Bl-użu ta 'Ausearch Tool fuq CentOS/RHEL
Fl-aħħar artiklu tagħna, spjegajna kif tivverifika s-sistema RHEL jew CentOS billi tuża l-utilità auditd. Is-sistema ta 'awditjar (auditd) hija sistema ta' qtugħ komprensiva u ma tużax syslog għal dik il-kwistjoni. Jiġi wkoll b'sett ta' għodda għall-ġestjoni tas-sistema tal-awditjar tal-qalba kif ukoll għat-tiftix u l-produzzjoni ta' rapporti minn informazzjoni fil-fajls tar-reġistru.
F'dan it-tutorja, se nispjegaw kif nużaw l-għodda ta 'tfittxija biex tirkupra data minn fajls ta' log awditjati fuq distribuzzjonijiet Linux ibbażati fuq RHEL u CentOS.
Kif semmejna aktar kmieni, is-sistema tal-awditjar għandha daemon tal-awditjar tal-ispazju tal-utent (auditd) li jiġbor informazzjoni relatata mas-sigurtà bbażata fuq regoli kkonfigurati minn qabel, mill-kernel u tiġġenera entrati f'fajl tal-ġurnal.
ausearch hija għodda sempliċi tal-linja tal-kmand użata biex tfittex il-fajls log tad-daemon tal-verifika bbażati fuq avvenimenti u kriterji ta 'tfittxija differenti bħal identifikatur tal-avveniment, identifikatur ewlieni, arkitettura tas-CPU, isem tal-kmand, hostname, isem tal-grupp jew ID tal-grupp, syscall, messaġġi u lil hinn. Jaċċetta wkoll data mhux ipproċessata minn stdin.
B'mod awtomatiku, ausearch jistaqsi l-fajl /var/log/audit/audit.log, li tista' tara bħal kull fajl test ieħor.
# cat /var/log/audit/audit.log OR # cat /var/log/audit/audit.log | less
Mill-screenshot ta 'hawn fuq, tista' tara ħafna dejta mill-fajl tal-ġurnal li jagħmilha diffiċli biex tikseb informazzjoni speċifika ta 'interess.
Għalhekk għandek bżonn ausearch, li jippermetti t-tiftix ta' informazzjoni b'mod aktar qawwi u effiċjenti bl-użu tas-sintassi li ġejja.
# ausearch [options]
Il-marka -p
tintuża biex tgħaddi ID tal-proċess.
# ausearch -p 2317
Hawnhekk, għandek bżonn tuża l-għażla -m
biex tidentifika messaġġi speċifiċi u -sv
biex tiddefinixxi l-valur tas-suċċess.
# ausearch -m USER_LOGIN -sv no
Il--ua jintuża biex jgħaddi username.
# ausearch -ua tecmint OR # ausearch -ua tecmint -i # enable interpreting of numeric entities into text.
Biex tfittex azzjonijiet imwettqa minn ċertu utent minn perjodu ta' żmien partikolari, uża l--ts
għad-data/ħin tal-bidu u -te
biex tispeċifika d-data/ħin tat-tmiem kif ġej ( innota li tista’ tuża kliem bħal issa, riċenti, illum, bieraħ, din il-ġimgħa, ġimgħa ilu, dan ix-xahar, din is-sena kif ukoll punt ta’ kontroll minflok formati ta’ ħin attwali).
# ausearch -ua tecmint -ts yesterday -te now -i
Aktar eżempji dwar it-tiftix għal azzjonijiet minn utent partikolari fuq is-sistema.
# ausearch -ua 1000 -ts this-week -i # ausearch -ua tecmint -m USER_LOGIN -sv no -i
Jekk trid tirrevedi l-bidliet kollha tas-sistema li għandhom x'jaqsmu mal-kontijiet tal-utenti, il-gruppi u r-rwoli; speċifika diversi tipi ta' messaġġi separati bil-virgola bħal fil-kmand ta' hawn taħt (ħu ħsieb il-lista separata bil-virgola, ħalli l-ebda spazju bejn virgola u l-oġġett li jmiss):
# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE -i
Ikkunsidra r-regola tal-awditjar hawn taħt li tirreġistra kull tentattiv biex taċċessa jew timmodifika d-database tal-kontijiet tal-utent /etc/passwd.
# auditctl -w /etc/passwd -p rwa -k passwd_changes
Issa, ipprova tiftaħ il-fajl ta 'hawn fuq għall-editjar u agħlaq, kif ġej.
# vi /etc/passwd
Sempliċement għax taf li ġiet irreġistrata dħul fil-log dwar dan, possibbilment tara l-aħħar partijiet tal-fajl log bil-kmand tad-denb kif ġej:
# tail /var/log/audit/audit.log
X'jiġri jekk reċentement ġew irreġistrati diversi avvenimenti oħra, li ssib l-informazzjoni speċifika tkun daqshekk diffiċli, iżda billi tuża ausearch, tista' tgħaddi l-marka -k
bil-valur ewlieni li speċifikajt fir-regola tal-awditjar biex tara kollha log messaġġi li jikkonċernaw avvenimenti li għandhom x'jaqsmu ma 'aċċess jew modifika tal-fajl /etc/passwd.
Dan se juri wkoll il-bidliet fil-konfigurazzjoni li tiddefinixxi r-regoli tal-verifika.
# ausearch -k passwd_changes | less
Għal aktar informazzjoni u għażliet ta’ użu, aqra l-paġna man ausearch:
# man ausearch
Biex tkun taf aktar dwar l-awditjar tas-sistema Linux u l-ġestjoni tal-log, aqra dawn l-artikoli relatati li ġejjin.
- Petiti – Għodda ta' Analiżi ta' Log Sors Miftuħ għal SysAdmins tal-Linux
- Immonitorja r-Reġistri tas-Server f'Ħin Real bl-Għodda \Log.io fuq RHEL/CentOS 7/6
- Kif Issettja u Immaniġġja r-Rotazzjoni tal-Logg billi tuża Logrotate fil-Linux
- lnav – Ara u Analizza l-Apache Logs minn Terminal Linux
F'dan it-tutorja, iddeskrivejna kif tuża l-ausearch biex tirkupra dejta minn fajl log auditd fuq RHEL u CentOS. Jekk għandek xi mistoqsijiet jew ħsibijiet x'taqsam, uża t-taqsima tal-kummenti biex tilħaqna.
Fl-artiklu li jmiss tagħna, aħna ser nispjegaw kif noħolqu rapporti minn fajls ta 'log tal-verifika billi tuża aureport f'RHEL/CentOS/Fedora.