Recherche de site Web

Comment créer des rapports à partir des journaux d'audit à l'aide de « aureport » sur CentOS/RHEL

Cet article est notre série en cours sur l'audit Linux. Dans nos deux derniers articles, nous avons expliqué comment installer et auditer les systèmes Linux (CentOS et RHEL) et comment interroger les journaux à l'aide de utilitaire de recherche.

Dans cette troisième partie, nous expliquerons comment générer des rapports à partir des fichiers journaux d'audit à l'aide de l'utilitaire aureport dans les distributions Linux basées sur CentOS et RHEL.

Lire aussi : Comment produire et fournir des rapports d'activité système à l'aide des ensembles d'outils Linux

Qu’est-ce qu’un rapport ?

aureport est un utilitaire de ligne de commande utilisé pour créer des rapports récapitulatifs utiles à partir des fichiers journaux d'audit stockés dans /var/log/audit/. Comme ausearch, il accepte également les données brutes des journaux provenant de stdin.

C'est un utilitaire facile à utiliser ; transmettez simplement une option pour un type spécifique de rapport dont vous avez besoin, comme indiqué dans les exemples ci-dessous.

Créer un rapport concernant les clés des règles d'audit

La commande aurepot produira un rapport sur toutes les clés que vous avez spécifiées dans les règles d'audit, en utilisant l'indicateur -k.

aureport -k

Vous pouvez activer l'interprétation des entités numériques en texte (par exemple convertir l'UID en nom de compte) à l'aide de l'option -i.

aureport -k -i

Créer un rapport sur les tentatives d'authentification

Si vous avez besoin d'un rapport sur tous les événements liés aux tentatives d'authentification pour tous les utilisateurs, utilisez l'option -au.

aureport -au 
OR
aureport -au -i

Produire un rapport concernant les connexions

L'option -l indique à aureport de générer un rapport de toutes les connexions comme suit.

Signaler les événements ayant échoué sur le système

La commande suivante montre comment signaler tous les événements ayant échoué.

aureport --failed

Générer un rapport récapitulatif pour une période donnée

Il est également possible de générer des rapports pour une période de temps spécifiée ; le -ts définit la date/heure de début et -te définit une date/heure de fin. Vous pouvez également utiliser des mots comme maintenant, récent, aujourd'hui, hier, cette semaine, il y a une semaine, ce mois-ci, cette année au lieu des formats d'heure réels.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i

Produire un rapport à partir de différents fichiers journaux d'audit

Si vous souhaitez créer un rapport à partir d'un fichier autre que les fichiers journaux par défaut dans le répertoire /var/log/audit, utilisez l'indicateur -if pour spécifier le fichier.

Cette commande rapporte toutes les connexions enregistrées dans /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log

Vous pouvez trouver toutes les options et plus d'informations dans la page de manuel aureport.

man aureport

Vous trouverez ci-dessous une liste d'articles concernant la gestion des journaux et les outils de génération de rapports sous Linux :

  1. 4 bons outils de surveillance et de gestion des journaux Open Source pour Linux
  2. SARG – Générateur de rapport d’analyse Squid et outil de surveillance de la bande passante Internet
  3. Smem – Rapporte la consommation de mémoire par processus et par utilisateur sous Linux
  4. Comment gérer les journaux système (configurer, faire pivoter et importer dans la base de données)

Dans ce didacticiel, nous avons montré comment générer des rapports récapitulatifs à partir des fichiers journaux d'audit dans RHEL/CentOS/Fedora. Utilisez la section commentaires ci-dessous pour poser des questions ou partager vos réflexions concernant ce guide.

Ensuite, nous montrerons comment auditer un processus spécifique à l'aide de l'utilitaire « autrace », en attendant, restez verrouillé sur Tecmint.