Sử dụng “ausearch” để thực hiện truy vấn các audit logs

Kiểm toán được sử dụng để theo dõi các thông tin liên quan đến bảo mật trên hệ thống. Kiểm toán tạo ra nhật ký để ghi lại thông tin về các sự kiện diễn ra trên hệ thống như thay đổi cơ sở dữ liệu, việc sử dụng cơ chế xác thực …

Hệ thống kiểm toán sẽ thu thập thông tin liên quan đến bảo mật dựa trên các quy tắc được cấu hình sẵn.

Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách sử dụng công cụ ausearch để truy xuất dữ liệu từ các File nhật ký kiểm toán trên RHEL và CentOS.

Ausearch là một lệnh đơn giản được sử dụng để tìm kiếm các File nhật ký daemon kiểm tra dựa trên các sự kiện và tiêu chí tìm kiếm khác nhau như xác thực Key, kiến ​​trúc CPU, tên máy chủ, v.v. Ausearch cũng chấp nhận dữ liệu từ stdin.

Mặc định, ausearch sẽ truy vấn File /var/log/audit/audit.logBạn có thể xem File này giống như bất kỳ File nào khác. File trông như thế này:

Như bạn thấy ở trên, có rất nhiều dữ liệu từ File nhật ký khiến chúng ta không thể biết dữ liệu nào được quan tâm. Đây là lúc chúng ta cần nó ausearch, công cụ giúp chúng tôi tìm kiếm thông tin hiệu quả và dễ dàng hơn.

Lệnh ausearch có cú pháp sau:

#ausearch [option]

Kiểm tra nhật ký quy trình đang chạy

Sử dụng tùy chọn -p và chỉ ra ID quy trình để kiểm tra

#ausearch -p [Process ID]

Hãy thử kiểm tra nhật ký của quá trình với PID = 609 bằng lệnh:

#ausearch -p 609

Với câu lệnh này, tất cả các quá trình có PID = 609 sẽ được hiển thị

Mình nghĩ bạn cần xem =>  IPO là gì? Ưu điểm và nhược điểm của IPO

Kiểm tra nhật ký các sự kiện

Với ausearchChúng tôi có thể tìm kiếm nhật ký cho các loại sự kiện nhất định với tùy chọn -m. Để xem các thông báo có thể kiểm tra, hãy sử dụng lệnh:

#ausearch -m

Lệnh sẽ hiển thị các loại thông báo có thể được sử dụng với tùy chọn -m.

Nếu bạn muốn kiểm tra nhật ký tương ứng với loại thông báo được hỗ trợ, bạn có thể sử dụng lệnh

#ausearch -m [message_type]

Kiểm tra các lần đăng nhập không thành công

Ausearch có khả năng tìm kiếm thông tin đăng nhập về các thông tin đăng nhập trên hệ thống của bạn. Để kiểm tra các lần đăng nhập không thành công, bạn có thể sử dụng lệnh sau:

#ausearch -m USER_LOGIN --success no

-m: Tìm nhật ký cho một sự kiện nhất định

sv (- thành công): Giá trị thành công của sự kiện, có 2 lựa chọn có và không

Tại đây hiển thị rõ ràng thời gian, id tiến trình … của tất cả các lần đăng nhập không thành công

Tìm hoạt động của người dùng cụ thể

Chức năng -ua sẽ cho phép tìm tất cả các bản ghi liên quan đến người dùng.

#ausearch -ua [username]

Tìm kiếm nhật ký của một khoảng thời gian nhất định

Với ausearch bạn có thể truy vấn nhật ký người dùng trong một khoảng thời gian nhất định.

-t: để xác định thời gian bắt đầu

Mình nghĩ bạn cần xem =>  Tìm hiểu SMB là gì và thông tin cơ bản SMB

-te: để xác định thời gian kết thúc

Với tùy chọn -t-te phải sử dụng định dạng thời gian 24 giờ và có thể sử dụng các từ chỉ thời gian như bây giờ, gần đây, hôm qua

#ausearch -ua root -ts yesterday -te now

Tìm kiếm nhật ký kiểm tra của File

Trong ausearch hỗ trợ chức năng -f để tìm kiếm nhật ký kiểm tra của một File cụ thể

#ausearch -f [File]

Tìm kiếm nhật ký kiểm tra cho giá trị quan trọng

Sử dụng tùy chọn -k để xem nhật ký sự kiện hoặc sửa đổi chúng dựa trên chuỗi Key đã khai báo.

Sử dụng lệnh sau để ghi lại tất cả nhật ký về việc truy cập và thay đổi File / etc / passwd

#auditctl -w /etc/passwd -p rwa -k passwd_changes_vccloud

Hãy thử mở File / etc / passwd bằng bất kỳ trình chỉnh sửa nào, chỉnh sửa và đóng File.

#vim /etc/passwd

Bây giờ sử dụng tùy chọn -k với chuỗi Key được khai báo để kiểm tra, chuỗi Key ở đây là passwd_changes_vccloud

#ausearch -k passwd_changes_vccloud

Và đây là kết quả:

Trên đây là hướng dẫn sử dụng lệnh ausearch Cơ bản để kiểm tra nhật ký kiểm tra trong RHEL và CentOS.

Để biết thêm thông tin và cách sử dụng lệnh ausearch, sử dụng trang người đàn ông:

#man ausearch

>> Tìm hiểu thêm: Tìm hiểu cách sao lưu sao lưu Offsite và sao lưu tại chỗ

✤ Top 20 bài viết Tổng Hợp mới nhất :

Mình nghĩ bạn cần xem =>  Cơ chế hoạt động của Javascript và NodeJS

Xem thêm nhiều Tổng Hợp mới hay

Leave A Reply

Your email address will not be published.