Übersicht
ausearch sucht in Audit-Protokolldateien wie `/var/log/audit/audit.log` nach Ereignissen, die bestimmte Kriterien erfüllen, und gibt diese aus. Mit diesem Werkzeug können wichtige sicherheitsrelevante Ereignisse oder Benutzeraktivitäten, die auf dem System aufgetreten sind, effizient verfolgt und analysiert werden.
Hauptfunktionen
Dies sind die Kernfunktionen, die ausearch bietet.
- Suche nach Aktivitäten bestimmter Benutzer oder Gruppen
- Verfolgung von Zugriffsänderungen an Dateien und Verzeichnissen
- Analyse von Ereignissen spezifischer Systemaufrufe (syscall)
- Filterung von Audit-Protokollen nach Zeit
- Abfrage von Ereignissen nach Nachrichtentyp
Wichtige Optionen
Dies sind die wichtigsten Optionen, die bei der Verwendung des ausearch-Befehls nützlich sind.
Suchkriterien
Zeitkriterien
Ausgabeformate
Erzeugter Befehl:
Kombinieren Sie die Befehle.
Beschreibung:
`ausearch` Führen Sie den Befehl aus.
Kombinieren Sie diese Optionen und führen Sie die Befehle virtuell zusammen mit der KI aus.
Anwendungsbeispiele
Dies sind praktische Anwendungsbeispiele für den ausearch-Befehl.
Suche nach allen Aktivitäten eines bestimmten Benutzers (root)
ausearch -ua root -iSucht nach allen Audit-Ereignissen, die vom Benutzer root ausgeführt wurden, und löst numerische IDs in Namen auf.
Suche nach Zugriffsversuchen auf eine bestimmte Datei (/etc/passwd)
ausearch -f /etc/passwdSucht nach allen Zugriffsversuchen auf die Datei /etc/passwd.
Suche nach allen Systemaufruf-Ereignissen (SYSCALL), die heute aufgetreten sind
ausearch -ts today -m SYSCALLSucht nach allen Systemaufruf-Ereignissen, die seit heute bis jetzt aufgetreten sind.
Suche nach fehlgeschlagenen Anmeldeereignissen
ausearch -m USER_LOGIN --success no -iSucht nach fehlgeschlagenen Benutzeranmeldeereignissen (Nachrichtentyp `USER_LOGIN` und `success=no`).
Suche nach allen Audit-Ereignissen für eine bestimmte PID
ausearch -p 12345Sucht nach allen Audit-Ereignissen, die mit einer bestimmten Prozess-ID (PID) verbunden sind.
Installation
ausearch ist Teil des Linux Audit Systems und wird auf den meisten wichtigen Distributionen über das Paket 'audit' oder 'auditd' bereitgestellt. Wenn es nicht standardmäßig installiert ist, können Sie es mit den folgenden Befehlen installieren.
Debian/Ubuntu
sudo apt-get update && sudo apt-get install auditdBefehl zur Installation des auditd-Pakets auf Debian- oder Ubuntu-basierten Systemen.
RHEL/CentOS/Fedora
sudo yum install auditBefehl zur Installation des audit-Pakets auf RHEL-, CentOS- oder Fedora-basierten Systemen.
Tipps & Hinweise
Dies sind Tipps und Hinweise zur effizienten Verwendung von ausearch.
Leistungsoptimierung
Beim Durchsuchen großer Mengen von Protokollen ist es wichtig, den Suchbereich einzugrenzen.
- Zeitbereich angeben: Geben Sie immer den zu durchsuchenden Zeitbereich mit den Optionen `-ts` und `-te` an.
- Spezifische Felder verwenden: Verwenden Sie spezifische Felder wie `-m`, `-f`, `-ua`, `-ui`, um unnötige Protokollscans zu reduzieren.
Speicherort der Protokolldatei
Machen Sie sich den Speicherort der Standard-Audit-Protokolldatei bewusst.
- Standardpfad: Auf den meisten Systemen werden Audit-Protokolle in `/var/log/audit/audit.log` gespeichert.
Verwendung mit aureport
Sie können die von ausearch gefilterten Ergebnisse an aureport weiterleiten, um zusammenfassende Berichte zu erstellen.
- Beispiel: Der Befehl `ausearch -ts today -m SYSCALL | aureport -s` sucht nach Systemaufruf-Ereignissen, die heute aufgetreten sind, und gibt einen zusammenfassenden Bericht aus.