Giunsa Pagpangutana ang Mga Log sa Pag-audit Gamit ang Tool sa Ausearch sa CentOS/RHEL

Sa among katapusan nga artikulo, among gipasabut kung giunsa ang pag-audit sa RHEL o CentOS nga sistema gamit ang auditd utility. Ang sistema sa pag-audit (auditd) usa ka komprehensibo nga sistema sa pag-log ug wala mogamit syslog alang niana nga butang. Kini usab adunay usa ka tool-set alang sa pagdumala sa kernel audit system ingon man sa pagpangita ug paghimo og mga taho gikan sa impormasyon sa log files.

Sa kini nga panudlo, among ipasabut kung giunsa paggamit ang tool sa ausearch aron makuha ang datos gikan sa auditd log files sa usa ka RHEL ug CentOS based Linux distributions.

Sama sa among gihisgutan sa sayo pa, ang sistema sa pag-audit adunay usa ka user-space audit daemon (auditd) nga nagtigum sa impormasyon nga may kalabutan sa seguridad base sa mga lagda nga gi-pre-configure, gikan sa kernel ug nagmugna og mga entry sa usa ka log file.

Ang ausearch kay simple nga command line tool nga gigamit sa pagpangita sa audit daemon log files base sa mga panghitabo ug lain-laing search criteria sama sa event identifier, key identifier, CPU architecture, command name, hostname, group name o group ID, syscall, messages ug uban pa. Gidawat usab niini ang hilaw nga datos gikan sa stdin.

Sa kasagaran, gipangutana sa ausearch ang /var/log/audit/audit.log file, nga mahimo nimong tan-awon sama sa ubang text file.

# cat /var/log/audit/audit.log
OR
# cat /var/log/audit/audit.log | less

Gikan sa screenshot sa ibabaw, makita nimo ang daghang data gikan sa log file nga nagpalisud sa pagkuha sa piho nga impormasyon nga interesado.

Busa kinahanglan nimo ang ausearch, nga makapahimo sa pagpangita sa impormasyon sa mas gamhanan ug episyente nga paagi gamit ang mosunod nga syntax.

# ausearch [options]

Ang -p nga bandila gigamit sa pagpasa sa usa ka proseso nga ID.

# ausearch -p 2317

Dinhi, kinahanglan nimong gamiton ang -m nga kapilian aron mailhan ang piho nga mga mensahe ug -sv aron mahibal-an ang kantidad sa kalampusan.

# ausearch -m USER_LOGIN -sv no

Ang -ua gigamit sa pagpasa sa usa ka username.

# ausearch -ua tecmint
OR
# ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Sa pagpangutana sa mga aksyon nga gihimo sa usa ka user gikan sa gihatag nga yugto sa panahon, gamita ang -ts para sa petsa/oras sa pagsugod ug -te para sa pagtino sa petsa/oras sa pagtapos sama sa mosunod ( timan-i nga mahimo nimong gamiton ang mga pulong sama sa karon, bag-o lang, karon, kagahapon, karong semanaha, semana-nga milabay, karong bulana, karong tuiga ingon man checkpoint imbes sa aktuwal nga mga format sa oras).

# ausearch -ua tecmint -ts yesterday -te now -i

Dugang nga mga pananglitan sa pagpangita sa mga aksyon sa gihatag nga tiggamit sa sistema.

# ausearch -ua 1000 -ts this-week -i
# ausearch -ua tecmint -m USER_LOGIN -sv no -i

Kung gusto nimo repasohon ang tanan nga pagbag-o sa sistema nga buhaton sa mga account sa gumagamit, grupo ug tahas; ipiho ang lain-laing comma separated messages type sama sa command sa ubos (atimana ang comma separated list, ayaw pagbilin ug space tali sa comma ug sa sunod nga aytem):

# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Ikonsiderar ang pag-audit nga lagda sa ubos nga mag-log sa bisan unsang pagsulay sa pag-access o pag-usab sa database sa /etc/passwd user accounts.

# auditctl -w /etc/passwd -p rwa -k passwd_changes

Karon, sulayi nga ablihan ang naa sa ibabaw nga file para sa pag-edit ug isira kini, ingon sa mosunod.

# vi /etc/passwd

Tungod lang kay nahibal-an nimo nga usa ka log entry ang natala bahin niini, mahimo nimong tan-awon ang katapusan nga mga bahin sa log file nga adunay tail command sama sa mosunod:

# tail /var/log/audit/audit.log

Unsa kaha kung daghang uban pang mga panghitabo ang bag-o lang natala, ang pagpangita sa piho nga kasayuran mahimong lisud kaayo, apan gamit ang ausearch, mahimo nimong ipasa ang bandila nga -k nga adunay yawe nga kantidad nga imong gitakda sa lagda sa pag-audit aron makita ang tanan log mga mensahe mahitungod sa mga panghitabo nga buhaton sa pag-access o pag-usab sa /etc/passwd file.

Ipakita usab niini ang mga pagbag-o sa pagsumpo nga gihimo-pagtino sa mga lagda sa pag-audit.

# ausearch -k passwd_changes | less

Para sa dugang nga impormasyon ug mga opsyon sa paggamit, basaha ang ausearch man page:

# man ausearch

Aron mahibal-an ang dugang bahin sa pag-audit sa sistema sa Linux ug pagdumala sa log, basaha kini nga mga mosunud nga may kalabutan nga mga artikulo.

  1. Petiti – Usa ka Open Source Log Analysis Tool para sa Linux SysAdmins
  2. Monitor Server Logs in Real-Time gamit ang \Log.io” Tool sa RHEL/CentOS 7/6
  3. Unsaon Pag-setup ug Pagdumala sa Log Rotation Gamit ang Logrotate sa Linux
  4. lnav – Tan-awa ug Analisaha ang mga Apache Log gikan sa Linux Terminal

Sa kini nga panudlo, among gihulagway kung giunsa ang paggamit sa ausearch aron makuha ang datos gikan sa usa ka auditd log file sa RHEL ug CentOS. Kung naa kay pangutana o hunahuna nga ipaambit, gamita ang comment section para maabot mi.

Sa among sunod nga artikulo, among ipasabut kung giunsa paghimo ang mga taho gikan sa mga file sa log sa pag-audit gamit ang aureport sa RHEL/CentOS/Fedora.