概述
aureport 讀取由 auditd 記錄的審計日誌文件(預設為 /var/log/audit/audit.log),並根據指定的標準生成摘要報告。這有助於快速了解系統的安全狀態並識別潛在威脅。
主要功能
- 生成日誌摘要和統計信息
- 提供各種事件報告(登錄、文件訪問、執行的程序等)
- 支持安全審計和合規性
主要選項
aureport 提供多種報告類型和過濾選項。
報告類型
過濾與輸出
生成的命令:
請試著組合命令。
這個 Django 應用程序是一個技術指南文檔,旨在為用戶輕鬆解釋 Linux 的各種命令。
`aureport` 執行命令。
請將上述選項組合在一起,與 AI 一同虛擬執行命令。
使用範例
使用 aureport 命令生成各種報告的範例。
所有登錄/登出嘗試報告
aureport -l查看系統上所有登錄和登出事件。
從昨天到今天的認證嘗試報告
aureport -au --start yesterday生成從昨天午夜到現在的認證嘗試報告。
本週文件訪問報告
aureport -f --start this-week摘要顯示本週發生的文件訪問事件。
今天執行的所有程序報告
aureport -x --start today --end now生成今天執行的所有程序的報告。
失敗事件摘要報告
aureport -i --failed摘要顯示所有審計事件中失敗的事件。
安裝
aureport 是 audit 套件的一部分。如果大多數 Linux 發行版未預設安裝,您可以使用以下命令進行安裝。
Debian/Ubuntu
sudo apt update && sudo apt install auditd使用 apt 套件管理器安裝 auditd 套件。
CentOS/RHEL
sudo yum install audit使用 yum 套件管理器安裝 audit 套件。
Fedora
sudo dnf install audit使用 dnf 套件管理器安裝 audit 套件。
提示與注意事項
有效使用 aureport 的提示和注意事項。
有用提示
- **時間指定**: 您可以在 `--start` 和 `--end` 選項中使用相對時間表達式,例如 'today', 'yesterday', 'this-week', 'this-month', 'now'。
- **日誌文件位置**: 預設使用 `/var/log/audit/audit.log` 文件,但可能會根據 `auditd.conf` 的設置而改變。
- **性能**: 處理大量日誌數據可能需要較長時間,因此建議明確指定所需的日期範圍和報告類型。
- **與 `ausearch` 結合使用**: 您可以先使用 `ausearch` 根據特定條件過濾日誌,然後將結果通過管道傳遞給 `aureport` 以生成更精確的報告。例如:`ausearch -m USER_LOGIN -sv no | aureport -l`