Zoeken op website

Auditlogboeken opvragen met de 'ausearch'-tool op CentOS/RHEL

In ons laatste artikel hebben we uitgelegd hoe u het RHEL- of CentOS-systeem kunt controleren met behulp van het auditd-hulpprogramma. Het auditsysteem (auditd) is een uitgebreid logsysteem en maakt overigens geen gebruik van syslog. Het wordt ook geleverd met een toolset voor het beheren van het kernelauditsysteem en voor het zoeken en produceren van rapporten op basis van informatie in de logbestanden.

In deze tutorial leggen we uit hoe je de ausearch tool gebruikt om gegevens op te halen uit auditd logbestanden op een op RHEL en CentOS gebaseerde Linux-distributie.

Lees ook: 4 goede open source logbewakings- en beheertools voor Linux

Zoals we eerder vermeldden, heeft het auditsysteem een gebruikersruimte auditdaemon (auditd) die beveiligingsgerelateerde informatie verzamelt op basis van vooraf geconfigureerde regels, uit de kernel en genereert vermeldingen in een logbestand.

Wat is ausearch?

ausearch is een eenvoudig opdrachtregelprogramma dat wordt gebruikt om de auditdaemon-logbestanden te doorzoeken op basis van gebeurtenissen en verschillende zoekcriteria, zoals gebeurtenis-ID, sleutel-ID, CPU-architectuur, opdrachtnaam, hostnaam, groepsnaam of groeps-ID , syscall, berichten en meer. Het accepteert ook onbewerkte gegevens van stdin.

Standaard doorzoekt ausearch het bestand /var/log/audit/audit.log, dat u net als elk ander tekstbestand kunt bekijken.

cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less

In de bovenstaande schermafbeelding kunt u veel gegevens uit het logbestand zien, waardoor het moeilijk is om specifieke interessante informatie te verkrijgen.

Daarom heb je ausearch nodig, waarmee je op een krachtigere en efficiëntere manier naar informatie kunt zoeken met behulp van de volgende syntaxis.

ausearch [options]

Controleer lopende proceslogboeken in het gecontroleerde logbestand

De vlag -p wordt gebruikt om een proces-ID door te geven.

ausearch -p 2317

Controleer mislukte inlogpogingen in het gecontroleerde logbestand

Hier moet u de optie -m gebruiken om specifieke berichten te identificeren en -sv om de succeswaarde te definiëren.

ausearch -m USER_LOGIN -sv no

Zoek gebruikersactiviteit in het gecontroleerde logbestand

De -ua wordt gebruikt om een gebruikersnaam door te geven.

ausearch -ua tecmint
OR
ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Om acties op te vragen die door een bepaalde gebruiker in een bepaalde periode zijn uitgevoerd, gebruikt u de -ts voor startdatum/-tijd en -te voor het specificeren van de einddatum/-tijd als volgt ( Houd er rekening mee dat u woorden kunt gebruiken zoals nu, recent, vandaag, gisteren, deze week, week geleden, deze maand, dit jaar en ook checkpoint in plaats van de werkelijke tijdsnotatie).

ausearch -ua tecmint -ts yesterday -te now -i

Meer voorbeelden van het zoeken naar acties van een bepaalde gebruiker op het systeem.

ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i

Zoek wijzigingen in gebruikersaccounts, groepen en rollen in gecontroleerde logboeken

Als u alle systeemwijzigingen wilt bekijken die te maken hebben met gebruikersaccounts, groepen en rollen; specificeer verschillende door komma's gescheiden berichttypen zoals in het onderstaande commando (zorg voor de door komma's gescheiden lijst, laat geen spatie tussen een komma en het volgende item):

ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Zoek naar het Auditd-logbestand met behulp van de sleutelwaarde

Denk eens aan de onderstaande auditregel, waarmee alle pogingen tot toegang tot of wijziging van de /etc/passwd database met gebruikersaccounts worden geregistreerd.

auditctl -w /etc/passwd -p rwa -k passwd_changes

Probeer nu het bovenstaande bestand te openen om het te bewerken en sluit het als volgt.

vi /etc/passwd

Juist omdat u weet dat hierover een log-invoer is vastgelegd, kunt u met het tail-commando eventueel de laatste delen van het logbestand als volgt bekijken:

tail /var/log/audit/audit.log

Wat als er onlangs verschillende andere gebeurtenissen zijn opgenomen, dan zou het vinden van de specifieke informatie zo moeilijk zijn, maar met behulp van ausearch kunt u de vlag -k doorgeven met de sleutelwaarde die u heeft opgegeven in de auditregel om alle logberichten te bekijken over gebeurtenissen die te maken hebben met het openen of wijzigen van het /etc/passwd bestand.

Hier worden ook de aangebrachte configuratiewijzigingen weergegeven die de auditregels definiëren.

ausearch -k passwd_changes | less

Voor meer informatie en gebruiksopties kunt u de ausearch-manpagina lezen:

man ausearch

Lees de volgende gerelateerde artikelen voor meer informatie over Linux-systeemaudits en logbeheer.

  1. Petiti - Een open source loganalysetool voor Linux SysAdmins
  2. Monitor serveraanmeldingen in realtime met de tool "Log.io" op RHEL/CentOS 7/6
  3. Logrotatie instellen en beheren met Logrotate in Linux
  4. lnav – Bekijk en analyseer Apache-logboeken vanaf een Linux-terminal

In deze zelfstudie hebben we beschreven hoe u ausearch kunt gebruiken om gegevens op te halen uit een auditd-logbestand op RHEL en CentOS. Als u vragen of gedachten heeft om te delen, gebruik dan het commentaargedeelte om ons te bereiken.

In ons volgende artikel leggen we uit hoe u rapporten kunt maken van auditlogbestanden met behulp van aureport in RHEL/CentOS/Fedora.