개요
ausearch는 `/var/log/audit/audit.log`와 같은 감사 로그 파일에서 특정 조건을 만족하는 이벤트를 찾아 출력합니다. 이 도구를 통해 시스템에서 발생한 중요한 보안 관련 이벤트나 사용자 활동을 효율적으로 추적하고 분석할 수 있습니다.
주요 기능
ausearch가 제공하는 핵심 기능들입니다.
- 특정 사용자 또는 그룹의 활동 검색
- 파일 및 디렉토리 접근 변경 사항 추적
- 특정 시스템 호출(syscall) 이벤트 분석
- 시간 기반으로 감사 로그 필터링
- 메시지 유형(message type)별 이벤트 조회
주요 옵션
ausearch 명령어 사용 시 유용한 주요 옵션들입니다.
검색 조건
시간 조건
출력 형식
생성된 명령어:
명령어를 조합해 보세요.
설명:
`ausearch` 명령어를 실행합니다.
위 옵션들을 조합하여 AI와 함께 가상으로 명령어를 실행해 보세요.
사용 예시
ausearch 명령어를 활용한 실제 사용 예시들입니다.
특정 사용자(root)의 모든 활동 검색
ausearch -ua root -iroot 사용자가 수행한 모든 감사 이벤트를 검색하고, 숫자 ID를 이름으로 해석하여 출력합니다.
특정 파일(/etc/passwd)에 대한 접근 시도 검색
ausearch -f /etc/passwd/etc/passwd 파일에 대한 모든 접근 시도 이벤트를 검색합니다.
오늘 발생한 모든 시스템 호출(SYSCALL) 이벤트 검색
ausearch -ts today -m SYSCALL오늘 날짜부터 현재까지 발생한 모든 시스템 호출 이벤트를 검색합니다.
로그인 실패 이벤트 검색
ausearch -m USER_LOGIN --success no -i사용자 로그인 실패(`USER_LOGIN` 메시지 유형과 `success=no`) 이벤트를 검색합니다.
특정 PID의 모든 감사 이벤트 검색
ausearch -p 12345지정된 프로세스 ID(PID)와 관련된 모든 감사 이벤트를 검색합니다.
설치
ausearch는 Linux 감사 시스템의 일부로, 대부분의 주요 배포판에서 'audit' 또는 'auditd' 패키지를 통해 제공됩니다. 기본적으로 설치되어 있지 않다면 다음 명령어를 사용하여 설치할 수 있습니다.
Debian/Ubuntu
sudo apt-get update && sudo apt-get install auditdDebian 또는 Ubuntu 기반 시스템에서 auditd 패키지를 설치하는 명령어입니다.
RHEL/CentOS/Fedora
sudo yum install auditRHEL, CentOS 또는 Fedora 기반 시스템에서 audit 패키지를 설치하는 명령어입니다.
팁 & 주의사항
ausearch를 효율적으로 사용하기 위한 팁과 주의할 점입니다.
성능 최적화
대량의 로그를 검색할 때는 검색 범위를 좁히는 것이 중요합니다.
- 시간 범위 지정: 항상 `-ts`와 `-te` 옵션을 사용하여 검색할 시간 범위를 명확히 지정하세요.
- 특정 필드 사용: `-m`, `-f`, `-ua`, `-ui` 등 특정 필드를 사용하여 불필요한 로그 스캔을 줄이세요.
로그 파일 위치
기본 감사 로그 파일의 위치를 알아두세요.
- 기본 경로: 대부분의 시스템에서 감사 로그는 `/var/log/audit/audit.log`에 저장됩니다.
aureport와 함께 사용
ausearch로 필터링한 결과를 aureport로 파이프하여 요약 보고서를 생성할 수 있습니다.
- 예시: `ausearch -ts today -m SYSCALL | aureport -s` 명령은 오늘 발생한 시스템 호출 이벤트를 검색하여 요약 보고서로 출력합니다.