Inicio > Gestión de paquetes y sistema > aureport

aureport: Generar informes de registro de auditoría

aureport es un comando que analiza los datos de registro recopilados por el sistema de auditoría de Linux (auditd) para generar informes en varios formatos. Proporciona información resumida sobre actividades importantes del sistema, como eventos de seguridad del sistema, actividad del usuario y acceso a archivos, lo que lo hace útil para auditorías de seguridad y resolución de problemas.

Descripción general

aureport lee los archivos de registro de auditoría registrados por auditd (por defecto, /var/log/audit/audit.log) y genera informes resumidos según los criterios especificados. Esto permite comprender rápidamente el estado de seguridad del sistema e identificar amenazas potenciales.

Funciones principales

  • Generación de resúmenes y estadísticas de registros
  • Proporciona varios tipos de informes de eventos (inicio de sesión, acceso a archivos, programas ejecutados, etc.)
  • Soporte para auditoría de seguridad y cumplimiento normativo

Opciones principales

aureport ofrece varios tipos de informes y opciones de filtrado.

Tipos de informe

Filtrado y salida

Comando generado:

Combina los comandos.

Descripción:

`aureport` Ejecutando el comando.

Combina las opciones anteriores para ejecutar virtualmente los comandos junto con la IA.

Ejemplos de uso

Ejemplos de cómo generar varios informes utilizando el comando aureport.

Informe de todos los intentos de inicio/cierre de sesión

aureport -l

Verifica todos los eventos de inicio y cierre de sesión del sistema.

Informe de intentos de autenticación desde ayer hasta hoy

aureport -au --start yesterday

Genera un informe de intentos de autenticación que ocurrieron desde la medianoche de ayer hasta ahora.

Informe de acceso a archivos de esta semana

aureport -f --start this-week

Muestra un resumen de los eventos de acceso a archivos que ocurrieron esta semana.

Informe de todos los programas ejecutados hoy

aureport -x --start today --end now

Genera un informe de todos los programas ejecutados hoy.

Informe resumido de eventos fallidos

aureport -i --failed

Muestra un resumen de los eventos fallidos de todos los eventos de auditoría.

Instalación

aureport es parte del paquete audit. Si no está instalado por defecto en la mayoría de las distribuciones de Linux, puede instalarlo usando los siguientes comandos.

Debian/Ubuntu

sudo apt update && sudo apt install auditd

Instala el paquete auditd usando el administrador de paquetes apt.

CentOS/RHEL

sudo yum install audit

Instala el paquete audit usando el administrador de paquetes yum.

Fedora

sudo dnf install audit

Instala el paquete audit usando el administrador de paquetes dnf.

Consejos y precauciones

Consejos y precauciones para usar aureport de manera efectiva.

Consejos útiles

  • **Especificación de tiempo**: Puede usar expresiones de tiempo relativas como 'today', 'yesterday', 'this-week', 'this-month', 'now' para las opciones '--start' y '--end'.
  • **Ubicación del archivo de registro**: Por defecto, utiliza `/var/log/audit/audit.log`, pero esto puede variar según la configuración de `auditd.conf`.
  • **Rendimiento**: El procesamiento de grandes cantidades de datos de registro puede llevar tiempo, por lo que se recomienda especificar claramente el período y el tipo de informe necesarios.
  • **Uso con `ausearch`**: Puede filtrar primero los registros que cumplen condiciones específicas con `ausearch` y luego canalizar los resultados a `aureport` para generar informes más detallados. Ejemplo: `ausearch -m USER_LOGIN -sv no | aureport -l`

Comandos de la misma categoría

acl

ACL: Gestión de Listas de Control de Acceso

anacron

anacron: Ejecución de tareas periódicas después del arranque del sistema

ansible

ansible: Gestión y automatización remota de servidores

apropos

apropos: Búsqueda de páginas de manual

apt

Guía de Comandos APT (Advanced Package Tool)