Comment créer des rapports de journal d'audit aureport dans Centos 7

Comment créer des rapports de journal d'audit aureport dans Centos 7 | Linux/Unix 2024
Comment créer des rapports de journal d'audit aureport dans Centos 7 | Linux/Unix 2024

Une surveillance constante de nos serveurs garantit leur intégrité et leur fonctionnalité à tout moment, en particulier lorsqu'il s'agit de serveurs dans des environnements productifs. La réalisation d'audits de sécurité périodiques sur le système nous garantit d'être à jour et d'avoir une longueur d'avance face aux menaces et vulnérabilités possibles que le système peut avoir.

Les audits doivent être considérés comme une tâche fréquente dans le domaine informatique afin d'éviter à l'avenir des actions beaucoup plus radicales qui affectent les rôles, services ou éléments des utilisateurs.

Maintenant, Solvetic indiquera comment nous pouvons générer des rapports d'audit qui sont vitaux pour les réunions de gestion, les supports ou les journaux d'événements qui se produisent sur un serveur, dans ce cas nous parlons de CentOS 7.

Qu'est-ce qu'aureportL'utilitaire aureport a été conçu pour nous permettre de générer des rapports concrets et vitaux sur les événements enregistrés dans les fichiers journaux d'audit.

Par défaut, tous les fichiers audit.log hébergés dans le répertoire /var/log/audit/ sont interrogés pour créer le rapport. Dans le rapport, il sera possible de spécifier un fichier différent sur lequel exécuter le rapport à l'aide de la commande aureport -if nom_fichier.

Aureport nous propose différentes alternatives pour son utilisation et chacune nous donnera un résultat différent, ces options sont les suivantes.

1. Créer un rapport sur les clés de la règle d'audit aureport


Si nous utilisons le paramètre -k, aureport produira un rapport sur toutes les clés définies dans les règles d'audit.

Son exécution est : 

 aureport -k
Son résultat est le suivant :

Là, nous pouvons voir des informations détaillées indiquant la date, l'heure et l'événement qui s'est produit. Il est possible d'activer l'interprétation des entités numériques dans le texte (comme la conversion de l'UID en nom de compte) à l'aide de l'option -i : 

 aureport -k -i

2. Créer un rapport sur les tentatives d'authentification dans le système aureport


Il est possible que pour des raisons de sécurité et de contrôle, nous ayons besoin d'un rapport sur tous les événements liés aux tentatives d'authentification de tous les utilisateurs de CentOS 7, pour cela, nous utiliserons le paramètre -au. 
 aureport -au aureport -au -i
Le résultat sera le suivant :

3. Générer des rapports associés aux connexions aureport


Grâce au paramètre -l, il sera possible de dire à aureport de générer un rapport de toutes les connexions dans CentOS 7.
Nous exécuterons ce qui suit : 
 aureport -l
Le résultat obtenu sera le suivant :

On peut voir en détail la date et l'heure des connexions.

4. Générer un rapport des événements ayant échoué dans le système aureport


Si nous voulons obtenir un rapport sur les événements avec erreur dans CentOS 7, ce qui est pratique pour savoir en détail quel événement et quand il a été généré, nous pouvons exécuter ce qui suit : 
 aureport -échoué

Nous pouvons voir les catégories d'événements avec le montant respectif.

5. Générer un rapport pour une période de temps spécifiée aureport


Avec aureport, il est possible de générer des rapports pour une période de temps spécifique; Le paramètre -ts définit la date et l'heure de début, et la valeur -te définit une date et une heure de fin.

De plus, il est possible d'utiliser des mots comme maintenant, récent, aujourd'hui, hier, cette semaine, cette semaine, ce mois, cette année au lieu des formats en temps réel.

Nous pouvons exécuter des lignes comme : 

 aureport -ts 20/09/2017 08:00:00 -te now --summary -i aureport -ts today -te now --summary -i

6. Générer des rapports à l'aide d'un autre fichier journal aureport


Il est possible de créer un rapport en utilisant un fichier autre que les fichiers journaux par défaut dans le répertoire /var/log/audit, pour cela il faut utiliser le flag -if pour faire référence au fichier : 
 aureport -l -if /var/log/solvetic/hosts/node3.log
D'autres paramètres utiles à utiliser avec aureport sont :

Rapports sur les tentatives d'authentification 

 -au, --auth

Rapport sur les messages avc 
 -a, --avc

Signaler les changements de configuration 

 -c, --config

Rapport sur les événements cryptographiques 

 -cr, --crypto

Rapport sur les événements 

 -e, --événement

Rapport sur les fichiers 
 -f, --fichier

Sélectionnez les événements ayant échoué à traiter dans les rapports 
 --échoué

Rapports sur les hôtes 

 -h, --host

Imprime un résumé de la commande à exécuter 

 --aider

Interpréter les entités numériques dans le textePar exemple, uid devient un nom de compte. La conversion se fait en utilisant les ressources actuelles de la machine où la recherche est en cours d'exécution 

 -i, --interpret
.

Utilise le fichier indiquéCela facilite l'analyse lorsque des enregistrements ont été déplacés vers une autre machine ou qu'une partie seulement d'un enregistrement a été enregistrée. 

 -if, --fichier d'entrée

Utilise l'emplacement du fichier journal auditd.conf comme entrée pour l'analyseCeci est nécessaire si vous utilisez aureport à partir d'une tâche cron. 

 --input-logs

Rapports sur les clés de règle d'audit 

 -k, --clé

Rapports sur les connexions 

 -l, --login

Rapport sur les modifications de compte 

 -m, --mods

Rapports sur les événements de contrôle d'accès obligatoire (MAC) 

 -ma, --mac

Rapports sur les événements d'anomalieCes événements incluent les cartes réseau passant des programmes de promiscuité et de segmentation. 

 -n, --anomalie

Permet de sélectionner les événements issus de la chaîne de noms de nœuds à traiter dans les rapportsLa valeur par défaut consiste à inclure tous les nœuds. Plusieurs nœuds sont autorisés. 

 --node nom-noeud

Rapport sur les processus en cours 

 -p, --pid

Rapports sur les réponses aux événements d'échec 

 -r, --réponse

Rapport sur les appels système 

 -s, --syscall

Sélectionnez uniquement les événements réussis à traiter dans les rapportsLa valeur par défaut est réussie. 

 --Succès

Exécute un rapport récapitulatif qui fournit un total des principaux éléments du rapport 

 --résume

Cette option affiche un rapport des heures de début et de fin de chaque enregistrement. 

 -t, --log

Recherche des événements dont l'horodatage est égal ou antérieur à l'heure de fin donnée.Le format de l'heure de fin dépend de votre région. Si la date est omise, le jour est supposé. Si le temps est omis, il est maintenant supposé. Nous pouvons utiliser l'horloge de 24 heures au lieu de AM ou PM pour spécifier l'heure. N'oubliez pas qu'il est possible d'utiliser des mots comme : maintenant, récent, aujourd'hui, hier, cette semaine, semaine, ce mois, cette année. Aujourd'hui, c'est commencer maintenant. Récent est il y a 10 minutes. Hier est 1 seconde après minuit la veille. Cette semaine signifie commencer 1 seconde après minuit le 0e jour de la semaine déterminé par votre emplacement (voir heure locale). Ce mois signifie 1 seconde après minuit le 1er du mois. Cette année signifie 1 seconde après minuit le premier jour du premier mois. 

 -te, --end [date-fin] [heure-fin]

Informe sur les terminaux 

 -tm, --terminal

Recherche des événements avec des horodatages égaux ou postérieurs à l'heure de fin donnéeLe format de l'heure de fin dépend de votre région. Si la date est omise, le jour est supposé. Si l'heure est omise, minuit est supposé. Nous pouvons utiliser l'horloge de 24 heures au lieu de AM ou PM pour spécifier l'heure. 
 -ts, --start [date de début] [début]

Informer sur les utilisateurs 

 -u, --user

Imprimer la version et quitter l'utilitaire 

 -v, --version

Rapport sur les exécutables 

 -x, --exécutable

Enfin, pour obtenir une aide générale de l'utilitaire, nous pouvons exécuter man aureport. De cette façon, nous pouvons voir comment cet utilitaire nous permet de générer des rapports détaillés sur tous les problèmes d'audit dans les environnements Linux, dans ce cas CentOS 7, et ainsi effectuer une administration beaucoup plus complète des événements du serveur.

wave wave wave wave wave

Articles Populaires

wave
1
post-title
Commande pour afficher les services actifs sur CentOS Linux
2
post-title
Spécifications des composants Beans en Java
3
post-title
Supprimer ou mettre l'heure dans la barre des tâches de Windows 10
4
post-title
Comment utiliser le stockage optimisé macOS Sierra
5
post-title
Mettre à jour Word, Excel ou PowerPoint Windows 10

Recommandé

wave
- Sponsored Ad -

Choix De L'Éditeur

wave
- Sponsored Ad -