aureport : Générer des rapports de journal d'audit

Aperçu

aureport lit les fichiers journaux d'audit enregistrés par auditd (par défaut /var/log/audit/audit.log) et génère des rapports résumés selon des critères spécifiés. Cela permet d'évaluer rapidement l'état de sécurité du système et d'identifier les menaces potentielles.

Fonctionnalités principales

Génération de résumés et de statistiques de journaux
Fourniture de rapports sur divers types d'événements (connexions, accès aux fichiers, programmes exécutés, etc.)
Support pour l'audit de sécurité et la conformité

Options principales

aureport offre une variété de types de rapports et d'options de filtrage.

Types de rapports

Filtrage et sortie

Commande générée :

Essayez de combiner les commandes.

Description:

`aureport` Exécute la commande.

Essayez d'exécuter virtuellement les commandes avec l'IA en combinant les options ci-dessus.

Exemples d'utilisation

Voici des exemples de génération de rapports à l'aide de la commande aureport.

Rapport de toutes les tentatives de connexion/déconnexion

aureport -l

Vérifie tous les événements de connexion et de déconnexion du système.

Rapport des tentatives d'authentification depuis hier jusqu'à aujourd'hui

aureport -au --start yesterday

Génère un rapport sur les tentatives d'authentification survenues depuis minuit hier jusqu'à maintenant.

Rapport d'accès aux fichiers de cette semaine

aureport -f --start this-week

Affiche un résumé des événements d'accès aux fichiers survenus cette semaine.

Rapport de tous les programmes exécutés aujourd'hui

aureport -x --start today --end now

Génère un rapport sur tous les programmes exécutés aujourd'hui.

Rapport récapitulatif des événements échoués

aureport -i --failed

Affiche un résumé des événements échoués parmi tous les événements d'audit.

Installation

aureport fait partie du paquet audit. S'il n'est pas installé par défaut sur la plupart des distributions Linux, vous pouvez l'installer en utilisant les commandes suivantes.

Debian/Ubuntu

sudo apt update && sudo apt install auditd

Installe le paquet auditd à l'aide du gestionnaire de paquets apt.

CentOS/RHEL

sudo yum install audit

Installe le paquet audit à l'aide du gestionnaire de paquets yum.

Fedora

sudo dnf install audit

Installe le paquet audit à l'aide du gestionnaire de paquets dnf.

Conseils et précautions

Voici des conseils et des précautions pour utiliser aureport efficacement.

Conseils utiles

**Spécification de l'heure** : Vous pouvez utiliser des expressions temporelles relatives comme 'today', 'yesterday', 'this-week', 'this-month', 'now' pour les options `--start` et `--end`.
**Emplacement du fichier journal** : Par défaut, il utilise le fichier `/var/log/audit/audit.log`, mais cela peut être modifié dans la configuration de `auditd.conf`.
**Performance** : Le traitement de grandes quantités de données de journal peut prendre du temps. Il est donc conseillé de spécifier clairement la période et le type de rapport requis.
**Utilisation avec `ausearch`** : Vous pouvez d'abord filtrer les journaux qui satisfont à des conditions spécifiques avec `ausearch`, puis rediriger les résultats vers `aureport` pour générer des rapports plus précis. Exemple : `ausearch -m USER_LOGIN -sv no | aureport -l`