AUREPORT(8) Utilitare de administrare a sistemului AUREPORT(8)

aureport - un instrument care generează rapoarte sumare ale jurnalelor demonului de audit

aureport [opțiuni]

aureport este un instrument care generează rapoarte sumare ale jurnalelor sistemului de audit. Utilitarul aureport poate prelua date de intrare de la intrarea standard, atâta timp cât acestea sunt date brute din jurnal. Rapoartele au o etichetă de coloană în partea de sus pentru a facilita interpretarea diverselor câmpuri. Cu excepția raportului sumativ principal, toate rapoartele conțin numărul evenimentului de audit. Puteți căuta ulterior evenimentul complet cu ausearch -a numărul evenimentului. Este posibil să fie necesar să specificați orele de începere și de încheiere dacă obțineți mai multe rezultate. Rapoartele generate de aureport pot fi utilizate ca elemente de bază pentru analize mai complexe.

Raport despre încercările de autentificare
Raport despre mesajele avc
Raport despre comenzile executate
Raport despre modificările de configurare
Raport despre evenimentele criptografice
Scrie evenimentele incorect formatate care sunt omise la ieșirea de erori standard.
Stabilește timpul de expirare pentru analizarea sfârșitului evenimentului. Pentru detalii, consultați end_of_event_timeout în auditd.conf(5). Rețineți că stabilirea acestei valori va suprascrie orice valoare configurată găsită în „/etc/auditd/auditd.conf”.
Raport despre evenimente
Această opțiune determină dacă ieșirea este eludapată pentru a face conținutul mai sigur pentru anumite utilizări. Opțiunile sunt raw , tty , shell și shell_quote. Fiecare mod include caracterele modului precedent și eludează mai multe caractere. Adică shell include toate caracterele eludate de tty și adaugă altele. tty este opțiunea implicită.
Raport despre fișiere și socluri af_unix
Selectează numai evenimentele eșuate pentru procesare în rapoarte. Implicit sunt selectate atât evenimentele reușite, cât și cele eșuate.
Raport despre gazde
Imprimă rezumatul scurt al comenzilor
Interpretează entitățile numerice din text. De exemplu, uid este convertit în numele contului. Conversia se realizează utilizând resursele curente ale mașinii pe care se execută căutarea. Dacă ați redenumit conturile sau nu aveți aceleași conturi pe mașina dvs., puteți obține rezultate înșelătoare.
Utilizează fișierul sau directorul specificat în locul jurnalelor. Acest lucru facilitează analiza în cazul în care jurnalele au fost mutate pe un alt calculator sau doar o parte din jurnal a fost salvată. Lungimea rutei este limitată la 4064 octeți.
Utilizează locația fișierului jurnal din auditd.conf ca intrare pentru analiză. Acest lucru este necesar dacă utilizați aureport dintr-o sarcină cron.
Raport privind evenimentele legate de integritate
Raport privind cheile regulilor de audit
Raport despre autentificări
Raport privind modificările conturilor
Raport despre evenimentele legate de controlul accesului obligatoriu („Mandatory Access Control”: MAC)
Raport despre evenimente anomale. Aceste evenimente includ trecerea NIC în modul promiscuu și erori de segmentare ale programelor.
Selectează numai evenimentele provenite din șirul nume-nod pentru procesare în rapoarte. Implicit, sunt incluse toate nodurile. Sunt permise mai multe noduri.
Nu include evenimentul CONFIG_CHANGE. Acest lucru este deosebit de util pentru raportul cheie, deoarece regulile de audit au etichete cheie în multe cazuri. Utilizarea acestei opțiuni elimină aceste rezultate fals pozitive.
Raport despre procese
Raport privind răspunsurile la evenimente anomale
Raport despre apelurile de sistem
Selectează numai evenimentele reușite pentru procesare în rapoarte. Implicit sunt selectate atât evenimentele reușite, cât și cele eșuate.
Rulează raportul sumar care prezintă totalul elementelor din raportul principal. Nu toate rapoartele au un sumar
Această opțiune va genera un raport cu orele de începere și de încheiere pentru fiecare jurnal.
Raport despre apăsările tastelor în tty
Caută evenimente cu marcaje de timp egale sau anterioare orei de încheiere specificate. Formatul orei de încheiere depinde de configurația regională. Dacă data este omisă, se presupune today (azi). Dacă ora este omisă, se presupune now (acum). Utilizați ora în format de 24 de ore în loc de AM sau PM pentru a specifica ora. Un exemplu de dată utilizând configurația regională en_US.utf8 este 09/03/2009. Un exemplu de oră este 18:00:00. Formatul de dată acceptat este influențat de variabila de mediu LC_TIME.

De asemenea, puteți utiliza cuvintele: now (acum), recent (recent), this-hour (această oră), boot (pornire), today (astăzi), yesterday (ieri), this-week (săptămâna aceasta), week-ago (săptămâna trecută), this-month (luna aceasta), this-year (anul acesta). Now înseamnă începând de acum. Recent înseamnă acum 10 minute. Boot înseamnă ora exactă, la secundă, la care sistemul a fost pornit ultima dată. Today înseamnă acum. Yesterday înseamnă 1 secundă după miezul nopții din ziua precedentă. This-week înseamnă începând cu 1 secundă după miezul nopții din ziua 0 a săptămânii determinate de configurația regională (vedeți localtime). Week-ago înseamnă 1 secundă după miezul nopții exact acum 7 zile. This-month înseamnă 1 secundă după miezul nopții în ziua 1 a lunii. This-year înseamnă 1 secundă după miezul nopții în prima zi a primei luni.

Raport despre terminale
Caută evenimente cu marcaje de timp egale sau ulterioare orei de începere specificate. Formatul orei de încheiere depinde de configurația regională. Dacă data este omisă, se presupune today (azi). Dacă ora este omisă, se presupune midnight (miezul nopții). Utilizați ora în format de 24 de ore în loc de AM sau PM pentru a specifica ora. Un exemplu de dată utilizând configurația regională en_US.utf8 este 09/03/2009. Un exemplu de oră este 18:00:00. Formatul de dată acceptat este influențat de variabila de mediu LC_TIME.

De asemenea, puteți utiliza cuvintele: now (acum), recent (recent), this-hour (această oră), boot (pornire), today (astăzi), yesterday (ieri), this-week (săptămâna aceasta), week-ago (săptămâna trecută), this-month (luna aceasta), this-year (anul acesta). Boot înseamnă ora exactă, cu precizie de secundă, la care sistemul a fost pornit ultima dată. Today înseamnă începând cu 1 secundă după miezul nopții. Recent înseamnă acum 10 minute. Yesterday înseamnă 1 secundă după miezul nopții din ziua precedentă. This-week înseamnă începând cu 1 secundă după miezul nopții din ziua 0 a săptămânii determinate de configurația regională (consultați localtime). Week-ago înseamnă începând cu 1 secundă după miezul nopții de exact 7 zile în urmă. This-month înseamnă 1 secundă după miezul nopții din ziua 1 a lunii. This-year înseamnă 1 secundă după miezul nopții din prima zi a primei luni.

Raport despre utilizatori
Afișează versiunea și iese
Raport despre evenimentele legate de virtualizare
Raport despre fișierele executabile

Opțiunea de timp de pornire este o funcție convenabilă și are limitări. Timpul calculat se bazează pe ora actuală minus /proc/uptime. Dacă după pornire ceasul sistemului a fost ajustat, poate prin ntp, atunci calculul poate fi greșit. În acest caz, va trebui să specificați ora complet. Puteți verifica data+ora care trebuie utilizată rulând:

date -d "`cut -f1 -d. /proc/uptime` seconds ago"

ausearch(8), auditd(8), auditd.conf(5).

Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>

Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE.

Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-ro@lists.sourceforge.net.

februarie 2023 Red Hat