概要
aureportは、auditdによって記録された監査ログファイル(デフォルトでは/var/log/audit/audit.log)を読み込み、指定された基準に従って要約されたレポートを生成します。これにより、システムのセキュリティ状態を素早く把握し、潜在的な脅威を特定できます。
主な機能
- ログの要約と統計情報の生成
- さまざまな種類のイベントレポートの提供(ログイン、ファイルアクセス、実行されたプログラムなど)
- セキュリティ監査とコンプライアンスのサポート
主なオプション
aureportは、さまざまなレポートタイプとフィルタリングオプションを提供します。
レポートタイプ
フィルタリングと出力
生成されたコマンド:
コマンドを組み合わせてみてください。
説明:
`aureport` コマンドを実行します。
これらのオプションを組み合わせて、AIと一緒に仮想的にコマンドを実行してみてください。
使用例
aureportコマンドを使用したさまざまなレポート生成の例です。
すべてのログイン/ログアウト試行レポート
aureport -lシステムのすべてのログインおよびログアウトイベントを確認します。
昨日から今日までの認証試行レポート
aureport -au --start yesterday昨日の深夜から現在までの認証試行に関するレポートを生成します。
今週のファイルアクセスレポート
aureport -f --start this-week今週発生したファイルアクセスイベントを要約して表示します。
今日実行されたすべてのプログラムレポート
aureport -x --start today --end now今日実行されたすべてのプログラムに関するレポートを生成します。
失敗したイベントの要約レポート
aureport -i --failedすべての監査イベントのうち、失敗したイベントのみを要約して表示します。
インストール
aureportはauditパッケージの一部です。ほとんどのLinuxディストリビューションではデフォルトでインストールされていない場合、次のコマンドを使用してインストールできます。
Debian/Ubuntu
sudo apt update && sudo apt install auditdaptパッケージマネージャーを使用してauditdパッケージをインストールします。
CentOS/RHEL
sudo yum install audityumパッケージマネージャーを使用してauditパッケージをインストールします。
Fedora
sudo dnf install auditdnfパッケージマネージャーを使用してauditパッケージをインストールします。
ヒントと注意点
aureportを効果的に使用するためのヒントと注意点です。
役立つヒント
- 時間指定:
--startおよび--endオプションには、「today」、「yesterday」、「this-week」、「this-month」、「now」などの相対的な時間表現を使用できます。 - ログファイルの位置: デフォルトでは
/var/log/audit/audit.logファイルを使用しますが、auditd.confの設定によって変更される場合があります。 - パフォーマンス: 大量のログデータを処理する場合、時間がかかることがあります。そのため、必要な期間とレポートタイプを明確に指定することをお勧めします。
ausearchとの併用: 特定の条件を満たすログをまずausearchでフィルタリングし、その結果をaureportにパイプすることで、より詳細なレポートを生成できます。例:ausearch -m USER_LOGIN -sv no | aureport -l