Giunsa Paghimo Mga Ulat gikan sa Mga Log sa Pag-audit Gamit ang 'aureport' sa CentOS/RHEL

Kini nga artikulo mao ang among nagpadayon nga serye sa mga log sa pangutana gamit ang ausearch utility.

Niining ikatulo nga bahin, among ipasabut kung giunsa paghimo ang mga taho gikan sa mga file sa log sa pag-audit gamit ang aureport utility sa mga distribusyon sa Linux nga nakabase sa CentOS ug RHEL.

Ang aureport kay usa ka command line utility nga gigamit sa paghimo ug mapuslanong summary reports gikan sa audit log files nga gitipigan sa /var/log/audit/. Sama sa ausearch, gidawat usab niini ang hilaw nga data sa log gikan sa stdin.

Kini usa ka dali gamiton nga utility; ipasa lang ang opsyon para sa usa ka piho nga matang sa report nga imong gikinahanglan, sama sa gipakita sa mga pananglitan sa ubos.

Ang aurepot nga sugo magpagawas ug report mahitungod sa tanang yawe nga imong gipiho sa audit rules, gamit ang -k flag.

# aureport -k

Mahimo nimong i-enable ang paghubad sa mga numeric entity ngadto sa text (pananglitan, i-convert ang UID ngadto sa account name) gamit ang -i nga opsyon.

# aureport -k -i

Kung kinahanglan nimo ang usa ka taho bahin sa tanan nga mga panghitabo nga adunay kalabotan sa pagsulay nga pag-authenticate alang sa tanan nga mga tiggamit, gamita ang kapilian nga -au.

# aureport -au 
OR
# aureport -au -i

Ang -l nga opsyon nagsulti sa aureport aron makamugna og report sa tanang logins sama sa mosunod.

Ang mosunud nga mando nagpakita kung giunsa pagreport ang tanan nga napakyas nga mga panghitabo.

# aureport --failed

Posible usab nga makamugna og mga taho alang sa usa ka piho nga yugto sa panahon; ang -ts naghubit sa petsa/oras sa pagsugod ug ang -te nagtakda ug petsa/oras sa pagtapos. Mahimo usab nimong gamiton ang mga pulong sama karon, bag-o lang, karon, kagahapon, karong semanaha, semana-nga milabay, karong bulana, karong tuiga imbes sa aktuwal nga mga format sa oras.

# aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
# aureport -ts yesterday -te now --summary -i

Kung gusto nimo maghimo ug report gikan sa lain nga file gawas sa default log files sa /var/log/audit directory, gamita ang -if nga bandera aron itakda ang file.

Kini nga sugo nagtaho sa tanang mga login nga natala sa /var/log/tecmint/hosts/node1.log.

# aureport -l -if /var/log/tecmint/hosts/node1.log

Mahimo nimong makit-an ang tanan nga kapilian ug dugang nga kasayuran sa panid sa tawo sa aureport.

# man aureport

Sa ubos usa ka lista sa mga artikulo bahin sa pagdumala sa log, ug mga himan sa paghimo sa taho sa Linux:

  1. 4 Maayo nga Open Source Log Monitoring ug Management Tools para sa Linux
  2. SARG – Squid Analysis Report Generator ug Internet Bandwidth Monitoring Tool
  3. Smem – Nagreport sa Memory Consumption Per-Process ug Per-User Basis sa Linux
  4. Unsaon Pagdumala sa System Logs (I-configure, I-rotate ug I-import Ngadto sa Database)

Sa kini nga panudlo, gipakita namon kung giunsa paghimo ang mga summary nga mga taho gikan sa mga file sa log sa pag-audit sa RHEL/CentOS/Fedora. Gamita ang seksyon sa komento sa ubos sa pagpangutana sa bisan unsang mga pangutana o pagpaambit sa bisan unsang mga hunahuna bahin sa kini nga giya.

Sunod, ipakita namon kung giunsa ang pag-audit sa usa ka piho nga proseso gamit ang 'autrace' utility, hangtod unya, ipadayon ang pagkandado sa Tecmint.