AUREPORT(8) Utilitare de administrare a sistemului AUREPORT(8) NUME aureport - un instrument care genereaza rapoarte sumare ale jurnalelor demonului de audit SINOPSIS aureport [opiuni] DESCRIERE aureport este un instrument care genereaza rapoarte sumare ale jurnalelor sistemului de audit. Utilitarul aureport poate prelua date de intrare de la intrarea standard, atata timp cat acestea sunt date brute din jurnal. Rapoartele au o eticheta de coloana in partea de sus pentru a facilita interpretarea diverselor campuri. Cu excepia raportului sumativ principal, toate rapoartele conin numarul evenimentului de audit. Putei cauta ulterior evenimentul complet cu ausearch -a numarul evenimentului. Este posibil sa fie necesar sa specificai orele de incepere i de incheiere daca obinei mai multe rezultate. Rapoartele generate de aureport pot fi utilizate ca elemente de baza pentru analize mai complexe. OPIUNI -au, --auth Raport despre incercarile de autentificare -a, --avc Raport despre mesajele avc --comm Raport despre comenzile executate -c, --config Raport despre modificarile de configurare -cr, --crypto Raport despre evenimentele criptografice --debug Scrie evenimentele incorect formatate care sunt omise la ieirea de erori standard. --eoe-timeout secunde Stabilete timpul de expirare pentru analizarea sfaritului evenimentului. Pentru detalii, consultai end_of_event_timeout in auditd.conf(5). Reinei ca stabilirea acestei valori va suprascrie orice valoare configurata gasita in ,,/etc/auditd/auditd.conf". -e, --event Raport despre evenimente --escape opiune Aceasta opiune determina daca ieirea este eludapata pentru a face coninutul mai sigur pentru anumite utilizari. Opiunile sunt raw , tty , shell i shell_quote. Fiecare mod include caracterele modului precedent i eludeaza mai multe caractere. Adica shell include toate caracterele eludate de tty i adauga altele. tty este opiunea implicita. -f, --file Raport despre fiiere i socluri af_unix --failed Selecteaza numai evenimentele euate pentru procesare in rapoarte. Implicit sunt selectate atat evenimentele reuite, cat i cele euate. -h, --host Raport despre gazde --help Imprima rezumatul scurt al comenzilor -i, --interpret Interpreteaza entitaile numerice din text. De exemplu, uid este convertit in numele contului. Conversia se realizeaza utilizand resursele curente ale mainii pe care se executa cautarea. Daca ai redenumit conturile sau nu avei aceleai conturi pe maina dvs., putei obine rezultate inelatoare. -if, --input fiier | director Utilizeaza fiierul sau directorul specificat in locul jurnalelor. Acest lucru faciliteaza analiza in cazul in care jurnalele au fost mutate pe un alt calculator sau doar o parte din jurnal a fost salvata. Lungimea rutei este limitata la 4064 octei. --input-logs Utilizeaza locaia fiierului jurnal din auditd.conf ca intrare pentru analiza. Acest lucru este necesar daca utilizai aureport dintr-o sarcina cron. --integrity Raport privind evenimentele legate de integritate -k, --key Raport privind cheile regulilor de audit -l, --login Raport despre autentificari -m, --mods Raport privind modificarile conturilor -ma, --mac Raport despre evenimentele legate de controlul accesului obligatoriu (,,Mandatory Access Control": MAC) -n, --anomaly Raport despre evenimente anomale. Aceste evenimente includ trecerea NIC in modul promiscuu i erori de segmentare ale programelor. --node nume-nod Selecteaza numai evenimentele provenite din irul nume-nod pentru procesare in rapoarte. Implicit, sunt incluse toate nodurile. Sunt permise mai multe noduri. -nc, --no-config Nu include evenimentul CONFIG_CHANGE. Acest lucru este deosebit de util pentru raportul cheie, deoarece regulile de audit au etichete cheie in multe cazuri. Utilizarea acestei opiuni elimina aceste rezultate fals pozitive. -p, --pid Raport despre procese -r, --response Raport privind raspunsurile la evenimente anomale -s, --syscall Raport despre apelurile de sistem --success Selecteaza numai evenimentele reuite pentru procesare in rapoarte. Implicit sunt selectate atat evenimentele reuite, cat i cele euate. --summary Ruleaza raportul sumar care prezinta totalul elementelor din raportul principal. Nu toate rapoartele au un sumar -t, --log Aceasta opiune va genera un raport cu orele de incepere i de incheiere pentru fiecare jurnal. --tty Raport despre apasarile tastelor in tty -te, --end [data-sfarit] [ora-sfarit] Cauta evenimente cu marcaje de timp egale sau anterioare orei de incheiere specificate. Formatul orei de incheiere depinde de configuraia regionala. Daca data este omisa, se presupune today (azi). Daca ora este omisa, se presupune now (acum). Utilizai ora in format de 24 de ore in loc de AM sau PM pentru a specifica ora. Un exemplu de data utilizand configuraia regionala en_US.utf8 este 09/03/2009. Un exemplu de ora este 18:00:00. Formatul de data acceptat este influenat de variabila de mediu LC_TIME. De asemenea, putei utiliza cuvintele: now (acum), recent (recent), this-hour (aceasta ora), boot (pornire), today (astazi), yesterday (ieri), this-week (saptamana aceasta), week-ago (saptamana trecuta), this-month (luna aceasta), this-year (anul acesta). Now inseamna incepand de acum. Recent inseamna acum 10 minute. Boot inseamna ora exacta, la secunda, la care sistemul a fost pornit ultima data. Today inseamna acum. Yesterday inseamna 1 secunda dupa miezul nopii din ziua precedenta. This-week inseamna incepand cu 1 secunda dupa miezul nopii din ziua 0 a saptamanii determinate de configuraia regionala (vedei localtime). Week-ago inseamna 1 secunda dupa miezul nopii exact acum 7 zile. This-month inseamna 1 secunda dupa miezul nopii in ziua 1 a lunii. This-year inseamna 1 secunda dupa miezul nopii in prima zi a primei luni. -tm, --terminal Raport despre terminale -ts, --start [data-inceput] [ora-inceput] Cauta evenimente cu marcaje de timp egale sau ulterioare orei de incepere specificate. Formatul orei de incheiere depinde de configuraia regionala. Daca data este omisa, se presupune today (azi). Daca ora este omisa, se presupune midnight (miezul nopii). Utilizai ora in format de 24 de ore in loc de AM sau PM pentru a specifica ora. Un exemplu de data utilizand configuraia regionala en_US.utf8 este 09/03/2009. Un exemplu de ora este 18:00:00. Formatul de data acceptat este influenat de variabila de mediu LC_TIME. De asemenea, putei utiliza cuvintele: now (acum), recent (recent), this-hour (aceasta ora), boot (pornire), today (astazi), yesterday (ieri), this-week (saptamana aceasta), week-ago (saptamana trecuta), this-month (luna aceasta), this-year (anul acesta). Boot inseamna ora exacta, cu precizie de secunda, la care sistemul a fost pornit ultima data. Today inseamna incepand cu 1 secunda dupa miezul nopii. Recent inseamna acum 10 minute. Yesterday inseamna 1 secunda dupa miezul nopii din ziua precedenta. This-week inseamna incepand cu 1 secunda dupa miezul nopii din ziua 0 a saptamanii determinate de configuraia regionala (consultai localtime). Week-ago inseamna incepand cu 1 secunda dupa miezul nopii de exact 7 zile in urma. This-month inseamna 1 secunda dupa miezul nopii din ziua 1 a lunii. This-year inseamna 1 secunda dupa miezul nopii din prima zi a primei luni. -u, --user Raport despre utilizatori -v, --version Afieaza versiunea i iese --virt Raport despre evenimentele legate de virtualizare -x, --executable Raport despre fiierele executabile NOTA Opiunea de timp de pornire este o funcie convenabila i are limitari. Timpul calculat se bazeaza pe ora actuala minus /proc/uptime. Daca dupa pornire ceasul sistemului a fost ajustat, poate prin ntp, atunci calculul poate fi greit. In acest caz, va trebui sa specificai ora complet. Putei verifica data+ora care trebuie utilizata ruland: date -d "`cut -f1 -d. /proc/uptime` seconds ago" CONSULTAI I ausearch(8), auditd(8), auditd.conf(5). TRADUCERE Traducerea in limba romana a acestui manual a fost facuta de Remus- Gabriel Chelu Aceasta traducere este documentaie gratuita; citii Licena publica generala GNU Versiunea 3 sau o versiune ulterioara cu privire la condiii privind drepturile de autor. NU se asuma NICIO RESPONSABILITATE. Daca gasii erori in traducerea acestui manual, va rugam sa trimitei un e-mail la . Red Hat februarie 2023 AUREPORT(8)