Главная > Управление пакетами и системой > aureport

aureport: Создание отчетов по журналам аудита

aureport — это команда в Linux, которая анализирует данные журналов, собранные системой аудита (auditd), и генерирует отчеты в различных форматах. Она предоставляет сводную информацию о важных системных действиях, таких как события безопасности, действия пользователей и доступ к файлам, что полезно для аудита безопасности и устранения неполадок.

Обзор

aureport считывает файлы журналов аудита, записанные auditd (по умолчанию /var/log/audit/audit.log), и генерирует сводные отчеты в соответствии с указанными критериями. Это позволяет быстро оценить состояние безопасности системы и выявить потенциальные угрозы.

Основные функции

  • Создание сводок и статистики журналов
  • Предоставление отчетов по различным типам событий (вход в систему, доступ к файлам, запущенные программы и т. д.)
  • Поддержка аудита безопасности и соответствия нормативным требованиям

Основные опции

aureport предлагает различные типы отчетов и опции фильтрации.

Типы отчетов

Фильтрация и вывод

Сгенерированная команда:

Комбинируйте команды.

Описание:

`aureport` Запускает команду.

Комбинируйте эти опции, чтобы виртуально выполнять команды с помощью ИИ.

Примеры использования

Примеры создания различных отчетов с использованием команды aureport.

Отчет обо всех попытках входа/выхода из системы

aureport -l

Проверяет все события входа и выхода из системы.

Отчет о попытках аутентификации со вчерашнего дня до сегодняшнего

aureport -au --start yesterday

Создает отчет о попытках аутентификации, произошедших с полуночи вчерашнего дня до настоящего момента.

Отчет о доступе к файлам за текущую неделю

aureport -f --start this-week

Сводно отображает события доступа к файлам, произошедшие на этой неделе.

Отчет обо всех программах, запущенных сегодня

aureport -x --start today --end now

Создает отчет обо всех программах, запущенных сегодня.

Сводный отчет о неудачных событиях

aureport -i --failed

Сводно отображает только неудачные события из всех событий аудита.

Установка

aureport является частью пакета audit. Если он не установлен по умолчанию в вашем дистрибутиве Linux, вы можете установить его с помощью следующей команды.

Debian/Ubuntu

sudo apt update && sudo apt install auditd

Установите пакет auditd с помощью пакетного менеджера apt.

CentOS/RHEL

sudo yum install audit

Установите пакет audit с помощью пакетного менеджера yum.

Fedora

sudo dnf install audit

Установите пакет audit с помощью пакетного менеджера dnf.

Советы и рекомендации

Советы и рекомендации по эффективному использованию aureport.

Полезные советы

  • **Указание времени**: Для опций `--start` и `--end` можно использовать относительные временные выражения, такие как 'today', 'yesterday', 'this-week', 'this-month', 'now'.
  • **Расположение файла журнала**: По умолчанию используется файл `/var/log/audit/audit.log`, но он может быть изменен в конфигурации `auditd.conf`.
  • **Производительность**: При обработке больших объемов данных журнала выполнение может занять некоторое время, поэтому рекомендуется четко указывать требуемый период и тип отчета.
  • **Использование с `ausearch`**: Вы можете сначала отфильтровать журналы, соответствующие определенным условиям, с помощью `ausearch`, а затем передать результаты в `aureport` для создания более точных отчетов. Пример: `ausearch -m USER_LOGIN -sv no | aureport -l`

Те же команды в категории

acl

ACL: Управление списками контроля доступа

anacron

anacron: Запуск периодических задач после перезагрузки системы

ansible

ansible: удаленное управление серверами и автоматизация

apropos

apropos: Поиск страниц руководства

apt

Руководство по командам APT (Advanced Package Tool)