Como criar relatórios a partir de logs de auditoria usando ‘aureport’ no CentOS/RHEL
Este artigo é nossa série contínua sobre auditoria Linux. Em nossos dois últimos artigos explicamos como instalar e auditar sistemas Linux (CentOS e RHEL) e como consultar logs usando utilitário ausearch.
Nesta terceira parte, explicaremos como gerar relatórios a partir de arquivos de log de auditoria usando o utilitário aureport em distribuições Linux baseadas em CentOS e RHEL.
Leia também: Como produzir e entregar relatórios de atividades do sistema usando conjuntos de ferramentas Linux
O que é aureport?
aureport é um utilitário de linha de comando usado para criar relatórios de resumo úteis a partir dos arquivos de log de auditoria armazenados em /var/log/audit/. Assim como o ausearch, ele também aceita dados brutos de log do stdin.
É um utilitário fácil de usar; basta passar uma opção para um tipo específico de relatório que você precisa, conforme mostrado nos exemplos abaixo.
Criar relatório sobre chaves de regras de auditoria
O comando aurepot produzirá um relatório sobre todas as chaves que você especificou nas regras de auditoria, usando o sinalizador -k
.
aureport -k
Você pode ativar a interpretação de entidades numéricas em texto (por exemplo, converter UID em nome de conta) usando a opção -i
.
aureport -k -i
Criar relatório sobre tentativas de autenticação
Se você precisar de um relatório sobre todos os eventos relacionados às tentativas de autenticação de todos os usuários, use a opção -au
.
aureport -au
OR
aureport -au -i
Produzir relatório sobre logins
A opção -l
diz ao aureport para gerar um relatório de todos os logins como segue.
Relatar eventos com falha no sistema
O comando a seguir mostra como relatar todos os eventos com falha.
aureport --failed
Gerar relatório resumido para um determinado período de tempo
Também é possível gerar relatórios para um determinado período de tempo; o -ts
define a data/hora de início e -te
define a data/hora de término. Você também pode usar palavras como agora, recente, hoje, ontem, esta semana, semana atrás, este mês, este ano em vez de formatos de hora reais.
aureport -ts 09/19/2017 15:20:00 -te now --summary -i
OR
aureport -ts yesterday -te now --summary -i
Produzir relatório a partir de arquivo de log de auditoria diferente
Se você quiser criar um relatório a partir de um arquivo diferente dos arquivos de log padrão no diretório /var/log/audit, use o sinalizador -if
para especificar o arquivo.
Este comando relata todos os logins registrados em /var/log/tecmint/hosts/node1.log.
aureport -l -if /var/log/tecmint/hosts/node1.log
Você pode encontrar todas as opções e mais informações na página de manual do aureport.
man aureport
Abaixo está uma lista de artigos sobre gerenciamento de logs e ferramentas de geração de relatórios no Linux:
- 4 boas ferramentas de monitoramento e gerenciamento de log de código aberto para Linux
- SARG – Gerador de relatórios de análise de squid e ferramenta de monitoramento de largura de banda da Internet
- Smem - relata o consumo de memória por processo e por usuário no Linux
- Como gerenciar logs do sistema (configurar, girar e importar para o banco de dados)
Neste tutorial, mostramos como gerar relatórios resumidos a partir de arquivos de log de auditoria no RHEL/CentOS/Fedora. Use a seção de comentários abaixo para fazer qualquer pergunta ou compartilhar suas idéias sobre este guia.
A seguir mostraremos como auditar um processo específico utilizando o utilitário ‘autrace’, até então fique bloqueado no Tecmint.