概要
ausearchは、`/var/log/audit/audit.log`のような監査ログファイルから特定の条件を満たすイベントを検索して出力します。このツールを使用すると、システムで発生した重要なセキュリティ関連イベントやユーザーアクティビティを効率的に追跡および分析できます。
主な機能
ausearchが提供する主要な機能です。
- 特定のユーザーまたはグループのアクティビティを検索
- ファイルおよびディレクトリへのアクセス変更を追跡
- 特定のシステムコール(syscall)イベントを分析
- 時間に基づいて監査ログをフィルタリング
- メッセージタイプ別のイベントを表示
主なオプション
ausearchコマンドの使用に役立つ主要なオプションです。
検索条件
時間条件
出力形式
生成されたコマンド:
コマンドを組み合わせてみてください。
説明:
`ausearch` コマンドを実行します。
これらのオプションを組み合わせて、AIと一緒に仮想的にコマンドを実行してみてください。
使用例
ausearchコマンドを活用した実際の使用例です。
特定のユーザー(root)の全アクティビティを検索
ausearch -ua root -irootユーザーが実行したすべての監査イベントを検索し、数値IDを名前に解釈して出力します。
特定のファイル(/etc/passwd)へのアクセス試行を検索
ausearch -f /etc/passwd/etc/passwdファイルへのすべてのアクセス試行イベントを検索します。
本日発生したすべてのシステムコール(SYSCALL)イベントを検索
ausearch -ts today -m SYSCALL本日以降現在までのすべてのシステムコールイベントを検索します。
ログイン失敗イベントを検索
ausearch -m USER_LOGIN --success no -iユーザーログイン失敗(`USER_LOGIN`メッセージタイプと`success=no`)イベントを検索します。
特定のPIDの全監査イベントを検索
ausearch -p 12345指定されたプロセスID(PID)に関連するすべての監査イベントを検索します。
インストール
ausearchはLinux監査システムのコンポーネントであり、ほとんどの主要ディストリビューションでは「audit」または「auditd」パッケージを通じて提供されます。デフォルトでインストールされていない場合は、次のコマンドを使用してインストールできます。
Debian/Ubuntu
sudo apt-get update && sudo apt-get install auditdDebianまたはUbuntuベースのシステムでauditdパッケージをインストールするコマンドです。
RHEL/CentOS/Fedora
sudo yum install auditRHEL、CentOS、またはFedoraベースのシステムでauditパッケージをインストールするコマンドです。
ヒントと注意点
ausearchを効率的に使用するためのヒントと注意点です。
パフォーマンス最適化
大量のログを検索する場合は、検索範囲を狭めることが重要です。
- 時間範囲の指定: 常に`-ts`と`-te`オプションを使用して、検索する時間範囲を明確に指定してください。
- 特定のフィールドの使用: `-m`、`-f`、`-ua`、`-ui`などの特定のフィールドを使用して、不要なログスキャンを減らしてください。
ログファイルの場所
デフォルトの監査ログファイルの場所を把握しておきましょう。
- デフォルトパス: ほとんどのシステムでは、監査ログは`/var/log/audit/audit.log`に保存されます。
aureportとの併用
ausearchでフィルタリングした結果をaureportにパイプして、要約レポートを生成できます。
- 例: `ausearch -ts today -m SYSCALL | aureport -s`コマンドは、本日発生したシステムコールイベントを検索して要約レポートとして出力します。