Aperçu
ausearch recherche et affiche les événements qui satisfont à des conditions spécifiques dans les fichiers journaux d'audit, tels que `/var/log/audit/audit.log`. Cet outil permet de suivre et d'analyser efficacement les événements de sécurité importants ou les activités des utilisateurs survenus sur le système.
Fonctionnalités principales
Fonctionnalités clés fournies par ausearch.
- Recherche d'activités d'un utilisateur ou d'un groupe spécifique
- Suivi des modifications d'accès aux fichiers et répertoires
- Analyse des événements d'appels système (syscall) spécifiques
- Filtrage des journaux d'audit basé sur le temps
- Consultation des événements par type de message
Options principales
Options utiles lors de l'utilisation de la commande ausearch.
Critères de recherche
Critères temporels
Format de sortie
Commande générée :
Essayez de combiner les commandes.
Description:
`ausearch` Exécute la commande.
Essayez d'exécuter virtuellement les commandes avec l'IA en combinant les options ci-dessus.
Exemples d'utilisation
Exemples concrets d'utilisation de la commande ausearch.
Recherche de toutes les activités d'un utilisateur spécifique (root)
ausearch -ua root -iRecherche tous les événements d'audit effectués par l'utilisateur root et interprète les ID numériques en noms.
Recherche des tentatives d'accès à un fichier spécifique (/etc/passwd)
ausearch -f /etc/passwdRecherche toutes les tentatives d'accès au fichier /etc/passwd.
Recherche de tous les événements d'appels système (SYSCALL) survenus aujourd'hui
ausearch -ts today -m SYSCALLRecherche tous les événements d'appels système survenus depuis aujourd'hui jusqu'à maintenant.
Recherche des événements d'échec de connexion
ausearch -m USER_LOGIN --success no -iRecherche les événements d'échec de connexion utilisateur (type de message 'USER_LOGIN' et 'success=no').
Recherche de tous les événements d'audit pour un PID spécifique
ausearch -p 12345Recherche tous les événements d'audit liés à un identifiant de processus (PID) donné.
Installation
ausearch fait partie du système d'audit Linux et est généralement fourni via le paquet 'audit' ou 'auditd' sur la plupart des distributions majeures. S'il n'est pas installé par défaut, vous pouvez l'installer en utilisant les commandes suivantes.
Debian/Ubuntu
sudo apt-get update && sudo apt-get install auditdCommande pour installer le paquet auditd sur les systèmes basés sur Debian ou Ubuntu.
RHEL/CentOS/Fedora
sudo yum install auditCommande pour installer le paquet audit sur les systèmes basés sur RHEL, CentOS ou Fedora.
Conseils et précautions
Conseils et points à considérer pour utiliser ausearch efficacement.
Optimisation des performances
Lors de la recherche dans de grands volumes de journaux, il est important de restreindre la portée de la recherche.
- Spécification de la plage horaire: Utilisez toujours les options `-ts` et `-te` pour spécifier clairement la plage horaire de recherche.
- Utilisation de champs spécifiques: Utilisez des champs spécifiques tels que `-m`, `-f`, `-ua`, `-ui` pour réduire le balayage inutile des journaux.
Emplacement du fichier journal
Connaissez l'emplacement du fichier journal d'audit par défaut.
- Chemin par défaut: Sur la plupart des systèmes, les journaux d'audit sont stockés dans `/var/log/audit/audit.log`.
Utilisation avec aureport
Vous pouvez utiliser aureport pour générer des rapports résumés en redirigeant les résultats filtrés par ausearch.
- Exemple: La commande `ausearch -ts today -m SYSCALL | aureport -s` recherche les événements d'appels système d'aujourd'hui et affiche un rapport résumé.