ausearch: Búsqueda de registros de auditoría

Descripción general

ausearch busca y muestra eventos que cumplen condiciones específicas en archivos de registro de auditoría como `/var/log/audit/audit.log`. Esta herramienta permite rastrear y analizar de manera eficiente eventos importantes relacionados con la seguridad o actividades de usuario que ocurrieron en el sistema.

Funciones principales

Las funciones clave que ofrece ausearch.

Búsqueda de actividades de usuarios o grupos específicos
Seguimiento de cambios en el acceso a archivos y directorios
Análisis de eventos de llamadas al sistema (syscall) específicas
Filtrado de registros de auditoría por tiempo
Consulta de eventos por tipo de mensaje

Opciones principales

Opciones útiles al usar el comando ausearch.

Criterios de búsqueda

Criterios de tiempo

Formato de salida

Comando generado:

Combina los comandos.

Descripción:

`ausearch` Ejecutando el comando.

Combina las opciones anteriores para ejecutar virtualmente los comandos junto con la IA.

Ejemplos de uso

Ejemplos prácticos de cómo utilizar el comando ausearch.

Buscar todas las actividades de un usuario específico (root)

ausearch -ua root -i

Busca todos los eventos de auditoría realizados por el usuario root e interpreta los IDs numéricos a nombres.

Buscar intentos de acceso a un archivo específico (/etc/passwd)

ausearch -f /etc/passwd

Busca todos los eventos de intento de acceso al archivo /etc/passwd.

Buscar todos los eventos de llamada al sistema (SYSCALL) ocurridos hoy

ausearch -ts today -m SYSCALL

Busca todos los eventos de llamada al sistema desde hoy hasta el momento actual.

Buscar eventos de fallo de inicio de sesión

ausearch -m USER_LOGIN --success no -i

Busca eventos de fallo de inicio de sesión de usuario (tipo de mensaje 'USER_LOGIN' y 'success=no').

Buscar todos los eventos de auditoría para un PID específico

ausearch -p 12345

Busca todos los eventos de auditoría relacionados con un ID de proceso (PID) dado.

Instalación

ausearch es parte del sistema de auditoría de Linux y se proporciona a través del paquete 'audit' o 'auditd' en la mayoría de las distribuciones principales. Si no está instalado por defecto, puede instalarlo con los siguientes comandos.

Debian/Ubuntu

sudo apt-get update && sudo apt-get install auditd

Comando para instalar el paquete auditd en sistemas basados en Debian o Ubuntu.

RHEL/CentOS/Fedora

sudo yum install audit

Comando para instalar el paquete audit en sistemas basados en RHEL, CentOS o Fedora.

Consejos y precauciones

Consejos y puntos a tener en cuenta para usar ausearch de manera eficiente.

Optimización del rendimiento

Al buscar grandes volúmenes de registros, es importante reducir el alcance de la búsqueda.

Especificar rango de tiempo: Siempre especifique claramente el rango de tiempo de búsqueda utilizando las opciones `-ts` y `-te`.
Usar campos específicos: Utilice campos específicos como `-m`, `-f`, `-ua`, `-ui` para reducir el escaneo de registros innecesario.

Ubicación del archivo de registro

Tenga en cuenta la ubicación del archivo de registro de auditoría predeterminado.

Ruta predeterminada: En la mayoría de los sistemas, los registros de auditoría se almacenan en `/var/log/audit/audit.log`.

Uso con aureport

Puede canalizar los resultados filtrados de ausearch a aureport para generar informes resumidos.

Ejemplo: El comando `ausearch -ts today -m SYSCALL | aureport -s` busca eventos de llamada al sistema ocurridos hoy y muestra un informe resumido.