Bii o ṣe le Ibeere Awọn iwe Atunwo nipa Lo Ọpa ausearch lori CentOS/RHEL

Ninu nkan wa ti o kẹhin, a ti ṣalaye bi a ṣe le ṣayẹwo ayewo RHEL tabi eto CentOS nipa lilo ohun elo iṣayẹwo. Eto iṣayẹwo (auditd) jẹ eto gedu okeerẹ ati pe ko lo syslog fun ọrọ naa. O tun wa pẹlu ṣeto-irinṣẹ fun ṣiṣakoso eto iṣayẹwo ekuro bi daradara bi wiwa ati ṣiṣe awọn iroyin lati alaye ninu awọn faili log.

Ninu ẹkọ yii, a yoo ṣalaye bii o ṣe lo ohun elo ausearch lati gba data lati awọn faili log auditd lori awọn pinpin Linux ti o da lori RHEL ati CentOS.

Gẹgẹbi a ti mẹnuba ni iṣaaju lori, eto iṣatunwo ni daemon ayewo aaye-olumulo kan (auditd) eyiti o ṣajọ alaye ti o ni ibatan aabo ti o da lori awọn ofin ti a tunto tẹlẹ, lati inu ekuro ati gbogbo awọn titẹ sii ni faili log kan.

ausearch jẹ ohun elo laini aṣẹ aṣẹ ti o rọrun ti a lo lati wa awọn faili log daemon da lori awọn iṣẹlẹ ati awọn iyasọtọ wiwa oriṣiriṣi gẹgẹbi idanimọ iṣẹlẹ, idanimọ bọtini, faaji Sipiyu, orukọ aṣẹ, orukọ olupin, orukọ ẹgbẹ tabi ID ẹgbẹ, syscall, awọn ifiranṣẹ ati kọja. O tun gba data aise lati stdin.

Nipa aiyipada, awọn ibeere ausearch ni faili /var/log/audit/audit.log, eyiti o le wo gẹgẹ bi eyikeyi faili ọrọ miiran.

# cat /var/log/audit/audit.log
OR
# cat /var/log/audit/audit.log | less

Lati sikirinifoto ti o wa loke, o le wo ọpọlọpọ data lati faili log ti o jẹ ki o nira lati gba alaye kan pato ti iwulo.

Nitorinaa o nilo ausearch, eyiti o jẹ ki iṣawari alaye ni ọna ti o lagbara pupọ ati lilo daradara nipa lilo ilana atẹle.

# ausearch [options]

Flag -p ni a lo lati kọja ID ilana kan.

# ausearch -p 2317

Nibi, o nilo lati lo aṣayan -m lati ṣe idanimọ awọn ifiranṣẹ pato ati -sv lati ṣalaye iye aṣeyọri.

# ausearch -m USER_LOGIN -sv no 

A -a ti lo lati kọja orukọ olumulo kan.

# ausearch -ua tecmint
OR
# ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Lati beere awọn iṣe ti olumulo kan ṣe lati akoko ti a fifun, lo -ts fun ọjọ ibẹrẹ/akoko ati -te fun sisọ ọjọ ipari/akoko bi atẹle ( ṣe akiyesi pe o le lo awọn ọrọ bii bayi, aipẹ, loni, ana, ni ọsẹ yii, ọsẹ-sẹyin, oṣu yii, ọdun yii bakanna bi ibi ayẹwo dipo awọn ọna kika akoko gangan).

# ausearch -ua tecmint -ts yesterday -te now -i 

Awọn apeere diẹ sii lori wiwa awọn iṣe nipasẹ olumulo ti a fun lori eto naa.

# ausearch -ua 1000 -ts this-week -i
# ausearch -ua tecmint -m USER_LOGIN -sv no -i

Ti o ba fẹ ṣe atunyẹwo gbogbo awọn ayipada eto lati ṣe pẹlu awọn iroyin olumulo, awọn ẹgbẹ ati awọn ipa; ṣalaye ọpọlọpọ awọn oriṣi awọn ifiranṣẹ ti o yapa koma bi ninu aṣẹ ni isalẹ (ṣetọju atokọ ti o ya silẹ ti koma, ma fi aye silẹ laarin aami idẹsẹ ati nkan atẹle):

# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Wo ofin iṣayẹwo ni isalẹ eyiti yoo buwolu wọle eyikeyi awọn igbiyanju lati wọle si tabi ṣe atunṣe ibi ipamọ data awọn olumulo/ati be be lo/passwd.

# auditctl -w /etc/passwd -p rwa -k passwd_changes

Bayi, gbiyanju lati ṣii faili loke fun ṣiṣatunkọ ki o pa a, bi atẹle.

# vi /etc/passwd

Nitoripe o mọ pe a ti gbasilẹ akọsilẹ wọle nipa eyi, o le ṣee wo awọn ẹya to kẹhin ti faili log pẹlu iru iru bi atẹle:

# tail /var/log/audit/audit.log

Kini ti ọpọlọpọ awọn iṣẹlẹ miiran ba ti gba silẹ laipẹ, wiwa alaye pataki yoo nira pupọ, ṣugbọn nipa lilo ausearch, o le kọja Flag -k pẹlu iye bọtini ti o sọ ni ofin iṣayẹwo lati wo gbogbo buwolu wọle awọn ifiranṣẹ nipa awọn iṣẹlẹ lati ṣe pẹlu iraye si tabi iyipada/ati be be lo/faili passwd.

Eyi yoo tun ṣe afihan awọn iyipada iṣeto ni ṣiṣe-asọye ti awọn ofin iṣayẹwo.

# ausearch -k passwd_changes | less

Fun alaye diẹ sii ati awọn aṣayan lilo, ka oju-iwe eniyan ausearch:

# man ausearch

Lati mọ diẹ sii nipa iṣatunwo eto Linux ati iṣakoso log, ka awọn nkan wọnyi ti o jọmọ wọnyi.

1. Petiti - Ohun elo Ṣiṣayẹwo Wọle Orisun Ṣiṣii fun Linux SysAdmins
2. Atẹle Awọn akọọlẹ olupin ni Akoko-gidi pẹlu\"Log.io" Ọpa lori RHEL/CentOS 7/6
3. Bii o ṣe le Ṣeto ati Ṣakoso Yiyi Wọle Lilo Logrotate ni Linux
4. lnav - Wo ati Ṣe itupalẹ Awọn àkọọlẹ Apache lati Terminal Linux kan

Ninu ẹkọ yii, a ṣapejuwe bii a ṣe le lo ausearch lati gba data lati faili log ti a ṣayẹwo lori RHEL ati CentOS. Ti o ba ni awọn ibeere tabi awọn ero lati pin, lo apakan asọye lati de ọdọ wa.

Ninu nkan wa ti nbọ, a yoo ṣalaye bi o ṣe ṣẹda awọn iroyin lati awọn faili log audit nipa lilo aureport ni RHEL/CentOS/Fedora.