개요
aureport는 auditd에 의해 기록된 감사 로그 파일(기본적으로 /var/log/audit/audit.log)을 읽어들여, 지정된 기준에 따라 요약된 보고서를 생성합니다. 이를 통해 시스템의 보안 상태를 빠르게 파악하고 잠재적인 위협을 식별할 수 있습니다.
주요 기능
- 로그 요약 및 통계 생성
- 다양한 유형의 이벤트 보고서 제공 (로그인, 파일 접근, 실행된 프로그램 등)
- 보안 감사 및 규정 준수 지원
주요 옵션
aureport는 다양한 보고서 유형과 필터링 옵션을 제공합니다.
보고서 유형
필터링 및 출력
생성된 명령어:
명령어를 조합해 보세요.
설명:
`aureport` 명령어를 실행합니다.
위 옵션들을 조합하여 AI와 함께 가상으로 명령어를 실행해 보세요.
사용 예시
aureport 명령어를 활용한 다양한 보고서 생성 예시입니다.
모든 로그인/로그아웃 시도 보고서
aureport -l시스템의 모든 로그인 및 로그아웃 이벤트를 확인합니다.
어제부터 오늘까지의 인증 시도 보고서
aureport -au --start yesterday어제 자정부터 현재까지 발생한 인증 시도에 대한 보고서를 생성합니다.
이번 주 파일 접근 보고서
aureport -f --start this-week이번 주에 발생한 파일 접근 이벤트를 요약하여 보여줍니다.
오늘 실행된 모든 프로그램 보고서
aureport -x --start today --end now오늘 실행된 모든 프로그램에 대한 보고서를 생성합니다.
실패한 이벤트 요약 보고서
aureport -i --failed모든 감사 이벤트 중 실패한 이벤트만 요약하여 보여줍니다.
설치
aureport는 audit 패키지의 일부입니다. 대부분의 Linux 배포판에서 기본적으로 설치되어 있지 않다면 다음 명령어를 사용하여 설치할 수 있습니다.
Debian/Ubuntu
sudo apt update && sudo apt install auditdapt 패키지 관리자를 사용하여 auditd 패키지를 설치합니다.
CentOS/RHEL
sudo yum install audityum 패키지 관리자를 사용하여 audit 패키지를 설치합니다.
Fedora
sudo dnf install auditdnf 패키지 관리자를 사용하여 audit 패키지를 설치합니다.
팁 & 주의사항
aureport를 효과적으로 사용하기 위한 팁과 주의사항입니다.
유용한 팁
- **시간 지정**: `--start` 및 `--end` 옵션에 'today', 'yesterday', 'this-week', 'this-month', 'now'와 같은 상대적인 시간 표현을 사용할 수 있습니다.
- **로그 파일 위치**: 기본적으로 `/var/log/audit/audit.log` 파일을 사용하지만, `auditd.conf` 설정에 따라 변경될 수 있습니다.
- **성능**: 대량의 로그 데이터를 처리할 때는 시간이 오래 걸릴 수 있으므로, 필요한 기간과 보고서 유형을 명확히 지정하는 것이 좋습니다.
- **`ausearch`와 함께 사용**: 특정 조건을 만족하는 로그를 먼저 `ausearch`로 필터링한 후, 그 결과를 `aureport`로 파이프하여 더 정교한 보고서를 생성할 수 있습니다. 예: `ausearch -m USER_LOGIN -sv no | aureport -l`