Startseite > Paket- & Systemverwaltung > aureport

aureport: Erstellung von Audit-Log-Berichten

aureport ist ein Befehl, der Protokolldaten, die vom Linux-Auditsystem (auditd) gesammelt wurden, analysiert, um Berichte in verschiedenen Formaten zu erstellen. Er liefert zusammenfassende Informationen über wichtige Systemaktivitäten wie Sicherheitsereignisse, Benutzeraktivitäten und Dateizugriffe, die für Sicherheitsaudits und die Fehlerbehebung nützlich sind.

Übersicht

aureport liest die von auditd geschriebenen Audit-Protokolldateien (standardmäßig /var/log/audit/audit.log) und erstellt zusammenfassende Berichte basierend auf angegebenen Kriterien. Dies ermöglicht eine schnelle Erfassung des Sicherheitsstatus des Systems und die Identifizierung potenzieller Bedrohungen.

Hauptfunktionen

  • Erstellung von Protokollzusammenfassungen und Statistiken
  • Bereitstellung verschiedener Arten von Ereignisberichten (Anmeldungen, Dateizugriffe, ausgeführte Programme usw.)
  • Unterstützung für Sicherheitsaudits und Compliance

Wichtige Optionen

aureport bietet verschiedene Berichtstypen und Filteroptionen.

Berichtstypen

Filterung und Ausgabe

Erzeugter Befehl:

Kombinieren Sie die Befehle.

Beschreibung:

`aureport` Führen Sie den Befehl aus.

Kombinieren Sie diese Optionen und führen Sie die Befehle virtuell zusammen mit der KI aus.

Anwendungsbeispiele

Beispiele für die Erstellung verschiedener Berichte mit dem Befehl aureport.

Bericht über alle An- und Abmeldeversuche

aureport -l

Überprüft alle An- und Abmeldeereignisse des Systems.

Bericht über Authentifizierungsversuche seit gestern

aureport -au --start yesterday

Erstellt einen Bericht über Authentifizierungsversuche, die seit Mitternacht gestern bis jetzt aufgetreten sind.

Bericht über Dateizugriffe dieser Woche

aureport -f --start this-week

Zeigt eine Zusammenfassung der Dateizugriffsereignisse dieser Woche an.

Bericht über alle heute ausgeführten Programme

aureport -x --start today --end now

Erstellt einen Bericht über alle heute ausgeführten Programme.

Zusammenfassender Bericht über fehlgeschlagene Ereignisse

aureport -i --failed

Zeigt eine Zusammenfassung aller fehlgeschlagenen Audit-Ereignisse an.

Installation

aureport ist Teil des audit-Pakets. Wenn es auf den meisten Linux-Distributionen nicht standardmäßig installiert ist, können Sie es mit den folgenden Befehlen installieren.

Debian/Ubuntu

sudo apt update && sudo apt install auditd

Installiert das auditd-Paket mit dem apt-Paketmanager.

CentOS/RHEL

sudo yum install audit

Installiert das audit-Paket mit dem yum-Paketmanager.

Fedora

sudo dnf install audit

Installiert das audit-Paket mit dem dnf-Paketmanager.

Tipps & Hinweise

Tipps und Hinweise zur effektiven Nutzung von aureport.

Nützliche Tipps

  • **Zeitangabe**: Für die Optionen `--start` und `--end` können relative Zeitangaben wie 'today', 'yesterday', 'this-week', 'this-month', 'now' verwendet werden.
  • **Protokolldateipfad**: Standardmäßig wird `/var/log/audit/audit.log` verwendet, dies kann jedoch je nach Konfiguration in `auditd.conf` variieren.
  • **Leistung**: Bei der Verarbeitung großer Datenmengen kann die Ausführung länger dauern. Es ist ratsam, den benötigten Zeitraum und den Berichtstyp klar anzugeben.
  • **Verwendung mit `ausearch`**: Sie können zuerst Protokolle, die bestimmte Kriterien erfüllen, mit `ausearch` filtern und dann die Ergebnisse an `aureport` weiterleiten, um detailliertere Berichte zu erstellen. Beispiel: `ausearch -m USER_LOGIN -sv no | aureport -l`

Gleiche Kategorie Befehle

acl

ACL: Verwaltung von Access Control Lists

anacron

anacron: Periodische Aufgaben nach Systemstart ausführen

ansible

ansible: Remote Server Management and Automation

apropos

apropos: Handbuchseiten durchsuchen

apt

APT (Advanced Package Tool) Befehlsreferenz