概述
aureport 读取由 auditd 记录的审计日志文件(默认为 /var/log/audit/audit.log),并根据指定的标准生成摘要报告。这有助于快速了解系统的安全状况并识别潜在威胁。
主要功能
- 生成日志摘要和统计信息
- 提供多种类型的事件报告(登录、文件访问、执行的程序等)
- 支持安全审计和合规性
主要选项
aureport 提供多种报告类型和过滤选项。
报告类型
过滤和输出
生成的命令:
请尝试组合命令。
描述:
`aureport` 执行命令。
通过组合这些选项,您可以与 AI 一起虚拟地执行命令。
使用示例
使用 aureport 命令生成各种报告的示例。
所有登录/登出尝试报告
aureport -l查看系统中所有登录和登出事件。
昨天至今的认证尝试报告
aureport -au --start yesterday生成从昨天午夜到现在的认证尝试报告。
本周文件访问报告
aureport -f --start this-week显示本周发生的文件访问事件摘要。
今天执行的所有程序报告
aureport -x --start today --end now生成今天执行的所有程序的报告。
失败事件摘要报告
aureport -i --failed显示所有审计事件中仅失败的事件摘要。
安装
aureport 是 audit 包的一部分。如果您的 Linux 发行版默认未安装,您可以使用以下命令进行安装。
Debian/Ubuntu
sudo apt update && sudo apt install auditd使用 apt 包管理器安装 auditd 包。
CentOS/RHEL
sudo yum install audit使用 yum 包管理器安装 audit 包。
Fedora
sudo dnf install audit使用 dnf 包管理器安装 audit 包。
提示与注意事项
有效使用 aureport 的提示和注意事项。
有用提示
- **时间指定**: 在 `--start` 和 `--end` 选项中,可以使用 'today', 'yesterday', 'this-week', 'this-month', 'now' 等相对时间表达式。
- **日志文件位置**: 默认使用 `/var/log/audit/audit.log` 文件,但可能会根据 `auditd.conf` 的配置而改变。
- **性能**: 处理大量日志数据可能需要较长时间,因此建议明确指定所需的时间范围和报告类型。
- **与 `ausearch` 结合使用**: 可以先使用 `ausearch` 根据特定条件过滤日志,然后将结果通过管道传递给 `aureport` 以生成更精细的报告。例如:`ausearch -m USER_LOGIN -sv no | aureport -l`