Главная > Управление пакетами и системой > ausearch

ausearch: Поиск в журналах аудита

ausearch — это утилита командной строки, используемая для запроса и анализа файлов журналов системы аудита Linux. Она позволяет искать события аудита по различным критериям, таким как конкретные события, пользователи, временные диапазоны, системные вызовы и т. д., что делает ее незаменимой для аудита безопасности системы, обнаружения вторжений и проверки соответствия требованиям.

Обзор

ausearch ищет и выводит события из файлов журналов аудита, таких как `/var/log/audit/audit.log`, соответствующие определенным условиям. Этот инструмент позволяет эффективно отслеживать и анализировать важные события безопасности или действия пользователей, происходящие в системе.

Основные функции

Ключевые функции, предоставляемые ausearch.

  • Поиск действий конкретного пользователя или группы
  • Отслеживание изменений доступа к файлам и каталогам
  • Анализ событий конкретных системных вызовов (syscall)
  • Фильтрация журналов аудита по времени
  • Просмотр событий по типу сообщения

Основные опции

Основные полезные опции при использовании команды ausearch.

Критерии поиска

Временные условия

Формат вывода

Сгенерированная команда:

Комбинируйте команды.

Описание:

`ausearch` Запускает команду.

Комбинируйте эти опции, чтобы виртуально выполнять команды с помощью ИИ.

Примеры использования

Примеры реального использования команды ausearch.

Поиск всех действий конкретного пользователя (root)

ausearch -ua root -i

Ищет все события аудита, выполненные пользователем root, и выводит числовые ID в виде имен.

Поиск попыток доступа к конкретному файлу (/etc/passwd)

ausearch -f /etc/passwd

Ищет все попытки доступа к файлу /etc/passwd.

Поиск всех событий системных вызовов (SYSCALL), произошедших сегодня

ausearch -ts today -m SYSCALL

Ищет все события системных вызовов, произошедшие с сегодняшнего дня до настоящего момента.

Поиск событий неудачного входа в систему

ausearch -m USER_LOGIN --success no -i

Ищет события неудачного входа пользователя (тип сообщения USER_LOGIN и success=no).

Поиск всех событий аудита для конкретного PID

ausearch -p 12345

Ищет все события аудита, связанные с указанным идентификатором процесса (PID).

Установка

ausearch является частью системы аудита Linux и предоставляется через пакет 'audit' или 'auditd' в большинстве основных дистрибутивов. Если он не установлен по умолчанию, вы можете установить его с помощью следующих команд.

Debian/Ubuntu

sudo apt-get update && sudo apt-get install auditd

Команда для установки пакета auditd в системах на базе Debian или Ubuntu.

RHEL/CentOS/Fedora

sudo yum install audit

Команда для установки пакета audit в системах на базе RHEL, CentOS или Fedora.

Советы и рекомендации

Советы и рекомендации по эффективному использованию ausearch.

Оптимизация производительности

При поиске больших объемов журналов важно сузить диапазон поиска.

  • Указание временного диапазона: Всегда явно указывайте временной диапазон поиска с помощью опций `-ts` и `-te`.
  • Использование конкретных полей: Используйте конкретные поля, такие как `-m`, `-f`, `-ua`, `-ui`, чтобы уменьшить ненужное сканирование журналов.

Расположение файла журнала

Знайте расположение файла журнала аудита по умолчанию.

  • Путь по умолчанию: В большинстве систем журналы аудита хранятся в `/var/log/audit/audit.log`.

Использование с aureport

Вы можете передать результаты фильтрации ausearch в aureport для создания сводных отчетов.

  • Пример: Команда `ausearch -ts today -m SYSCALL | aureport -s` ищет события системных вызовов, произошедших сегодня, и выводит сводный отчет.

Те же команды в категории

acl

ACL: Управление списками контроля доступа

anacron

anacron: Запуск периодических задач после перезагрузки системы

ansible

ansible: удаленное управление серверами и автоматизация

apropos

apropos: Поиск страниц руководства

apt

Руководство по командам APT (Advanced Package Tool)