Pesquisa de site

Como criar relatórios a partir de logs de auditoria usando ‘aureport’ no CentOS/RHEL

Este artigo é nossa série contínua sobre auditoria Linux. Em nossos dois últimos artigos explicamos como instalar e auditar sistemas Linux (CentOS e RHEL) e como consultar logs usando utilitário ausearch.

Nesta terceira parte, explicaremos como gerar relatórios a partir de arquivos de log de auditoria usando o utilitário aureport em distribuições Linux baseadas em CentOS e RHEL.

Leia também: Como produzir e entregar relatórios de atividades do sistema usando conjuntos de ferramentas Linux

O que é aureport?

aureport é um utilitário de linha de comando usado para criar relatórios de resumo úteis a partir dos arquivos de log de auditoria armazenados em /var/log/audit/. Assim como o ausearch, ele também aceita dados brutos de log do stdin.

É um utilitário fácil de usar; basta passar uma opção para um tipo específico de relatório que você precisa, conforme mostrado nos exemplos abaixo.

Criar relatório sobre chaves de regras de auditoria

O comando aurepot produzirá um relatório sobre todas as chaves que você especificou nas regras de auditoria, usando o sinalizador -k.

aureport -k

Você pode ativar a interpretação de entidades numéricas em texto (por exemplo, converter UID em nome de conta) usando a opção -i.

aureport -k -i

Criar relatório sobre tentativas de autenticação

Se você precisar de um relatório sobre todos os eventos relacionados às tentativas de autenticação de todos os usuários, use a opção -au.

aureport -au 
OR
aureport -au -i

Produzir relatório sobre logins

A opção -l diz ao aureport para gerar um relatório de todos os logins como segue.

Relatar eventos com falha no sistema

O comando a seguir mostra como relatar todos os eventos com falha.

aureport --failed

Gerar relatório resumido para um determinado período de tempo

Também é possível gerar relatórios para um determinado período de tempo; o -ts define a data/hora de início e -te define a data/hora de término. Você também pode usar palavras como agora, recente, hoje, ontem, esta semana, semana atrás, este mês, este ano em vez de formatos de hora reais.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i

Produzir relatório a partir de arquivo de log de auditoria diferente

Se você quiser criar um relatório a partir de um arquivo diferente dos arquivos de log padrão no diretório /var/log/audit, use o sinalizador -if para especificar o arquivo.

Este comando relata todos os logins registrados em /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log

Você pode encontrar todas as opções e mais informações na página de manual do aureport.

man aureport

Abaixo está uma lista de artigos sobre gerenciamento de logs e ferramentas de geração de relatórios no Linux:

  1. 4 boas ferramentas de monitoramento e gerenciamento de log de código aberto para Linux
  2. SARG – Gerador de relatórios de análise de squid e ferramenta de monitoramento de largura de banda da Internet
  3. Smem - relata o consumo de memória por processo e por usuário no Linux
  4. Como gerenciar logs do sistema (configurar, girar e importar para o banco de dados)

Neste tutorial, mostramos como gerar relatórios resumidos a partir de arquivos de log de auditoria no RHEL/CentOS/Fedora. Use a seção de comentários abaixo para fazer qualquer pergunta ou compartilhar suas idéias sobre este guia.

A seguir mostraremos como auditar um processo específico utilizando o utilitário ‘autrace’, até então fique bloqueado no Tecmint.