Cómo consultar registros de auditoría con la herramienta ‘ausearch’ en CentOS/RHEL

Cómo consultar registros de auditoría con la herramienta ‘ausearch’ en CentOS/RHEL

En nuestro último artículo, explicamos cómo auditar el sistema RHEL o CentOS utilizando la utilidad auditd. El sistema de auditoría ( auditd. es un sistema de registro completo y no usa syslog para el caso. También viene con un conjunto de herramientas para administrar el sistema de auditoría del kernel, así como para buscar y producir informes a partir de la información de los archivos de registro.

En este tutorial, explicaremos cómo usar ausearch. para recuperar datos de archivos de registro auditd. en distribuciones Linux basadas en RHEL y CentOS.

Lea también. 4 Buen monitoreo de registros de código abierto y Herramientas de administración para Linux

Como mencionamos anteriormente, el sistema de auditoría tiene un demonio de auditoría de espacio de usuario. ( auditd. que recopila información relacionada con la seguridad basado en reglas preconfiguradas, desde el kernel y genera entradas en un archivo de registro.

¿Qué es ausearch?

ausearch. es una herramienta de línea de comandos simple que se utiliza para buscar los archivos de registro del demonio de auditoría en función de eventos y diferentes criterios de búsqueda, como identificador de evento, identificador de clave, arquitectura de CPU, nombre de comando, nombre de host, nombre de grupo o ID de grupo, syscall, mensajes y más. También acepta datos sin procesar de stdin.

freestar.config.enabled_slots.push

De forma predeterminada, ausearch. consultas el archivo /var/log/audit/audit.log. que puede ver como cualquier otro archivo de texto.

# cat/var/log/audit/audit.log O # cat/var/log/audit/audit.log | menos  Ver archivos de registro de Auditd  Ver archivos de registro de Auditd Ver archivos de registro de Auditd

Desde el captura de pantalla de arriba, puedes ver muchos datos fr om el archivo de registro, lo que dificulta la obtención de información específica de interés.

Por lo tanto, necesita ausearch. que permite buscar información de una manera más potente y eficiente utilizando la siguiente sintaxis.

# ausearch [opciones] Verificar los registros del proceso en ejecución en el archivo de registro auditado

La marca-p se usa para pasar un ID de proceso.

# ausearch-p 2317  Verificar los registros de procesos de Linux  Comprobar los registros de procesos de Linux Verificar los registros del proceso de Linux Verificar los intentos fallidos de inicio de sesión en el archivo de registro de auditoría

Aquí, debe usar la opción-m para identificar mensajes específicos y-sv para definir el valor de éxito.

# ausearch-m USER_LOGIN-sv no  Buscar intentos fallidos de inicio de sesión en los registros  Buscar intentos fallidos de inicio de sesión en los registros Buscar intentos fallidos de inicio de sesión en los registros Buscar actividad del usuario en el archivo de registro Auditd

El -ua. se usa para pasar un nombre de usuario.

# ausearch-ua tecmint O # ausearch-ua tecmint-i # habilitar la interpretación de entidades numéricas en texto.  Buscar actividad de usuario en Linux Buscar actividad de usuario en Linux Buscar la actividad del usuario en Linux

Para consultar y acciones realizadas por un determinado usuario en un período de tiempo determinado, use-ts para la fecha/hora de inicio y-te para especificar la fecha/hora de finalización de la siguiente manera (tenga en cuenta que puede usar palabras como ahora, reciente, hoy, ayer, esta-semana, hace una semana, este-mes, este-año, así como el punto de control en lugar de los formatos de hora real).

# ausearch-ua tecmint-ts ayer-te ahora-i  Buscar actividad de usuario en un tiempo específico  Buscar la actividad del usuario en un tiempo específico Encuentra la actividad del usuario en un tiempo específico

Más ejemplos sobre la búsqueda de acciones de un usuario determinado en el sistema.

# ausearch-ua 1000-ts esta-semana-i # ausearch-ua tecmint-m USER_LOGIN-sv no-i Buscar modificaciones en cuentas de usuario, grupos y roles en Registros auditados

Si desea revisar todos los cambios del sistema relacionados con cuentas de usuario, grupos y roles; especifique varios tipos de mensajes separados por comas como en el siguiente comando (cuide la lista separada por comas, no deje espacios entre una coma y el siguiente elemento):

# ausearch-m ADD_USER, DEL_USER, USER_CHAUTHTOK, ADD_GROUP, DEL_GROUP, CHGRP_ID, ROLE_ASSIGN, ROLE_REMOVE-i Verificar cambios en el sistema Linux  Verificar cambios en el sistema Linux Buscar cambios en el sistema Linux Buscar archivo de registro Auditd usando la clave Valor

Considere la regla de auditoría a continuación que registrará cualquier intento de acceder o modificar la base de datos de cuentas de usuario /etc/passwd.

# auditctl-w/etc/passwd-p rwa-k passwd_changes

Ahora, intente abrir el archivo anterior para editarlo y ciérrelo, de la siguiente manera.

# vi/etc/passwd

Solo porque sabe que se ha registrado una entrada de registro sobre esto, posiblemente vería las últimas partes del archivo de registro con el comando tail de la siguiente manera:

# tail/var/log/audit/audit.log

¿Qué pasa si varios otros eventos se han registrado recientemente, encontrando la información específica? sería muy difícil, pero con ausearch. puede pasar la marca-k con el valor de clave que especificó en la regla de auditoría para ver todos los mensajes de registro relacionados con eventos relacionados con el acceso o la modificación de /etc/passwd.

Esto también mostrará los cambios de configuración realizados y la definición de las reglas de auditoría.

# ausearch-k passwd_changes | menos  Comprobar cambios de contraseña de usuarios del sistema  Comprobar cambios de contraseña de usuarios del sistema Che Cambios en la contraseña de los usuarios del sistema ck

Para obtener más información y opciones de uso, lea la página de manual de ausearch:

# man ausearch

Para saber más sobre la auditoría del sistema Linux y la administración de registros, lea los siguientes artículos relacionados.

  1. Petiti: una herramienta de análisis de registros de código abierto para administradores de sistemas Linux
  2. Supervise los registros del servidor en tiempo real con la herramienta “Log.io” en RHEL/CentOS 7/6
  3. Cómo configurar y administrar la rotación de registros usando Logrotate en Linux
  4. lnav-Ver y analizar registros de Apache desde una terminal de Linux

En este tutorial, describimos cómo utilizar ausearch. para recuperar datos de un archivo de registro auditado en RHEL y CentOS. Si tiene alguna pregunta o idea para compartir, utilice la sección de comentarios para comunicarse con nosotros.

En nuestro próximo artículo, explicaremos cómo crear informes a partir de archivos de registro de auditoría usando aureport. en RHEL/CentOS/Fedora.