Jinsi ya Kuuliza Kumbukumbu za Ukaguzi Kwa kutumia ausearch Tool kwenye CentOS/RHEL

Katika nakala yetu iliyopita, tumeelezea jinsi ya kukagua mfumo wa RHEL au CentOS kwa kutumia matumizi ya ukaguzi. Mfumo wa ukaguzi (ukaguzi) ni mfumo wa kina wa kukata miti na hautumii syslog kwa jambo hilo. Pia inakuja na seti ya zana ya kudhibiti mfumo wa ukaguzi wa kernel pamoja na kutafuta na kutoa ripoti kutoka kwa habari kwenye faili za kumbukumbu.

Katika somo hili, tutaelezea jinsi ya kutumia zana ya utaftaji kupata data kutoka kwa faili za kumbukumbu zilizokaguliwa kwenye usambazaji wa RHEL na CentOS kulingana na Linux.

Kama tulivyotaja hapo awali, mfumo wa ukaguzi una daemon ya ukaguzi wa nafasi ya mtumiaji (ukaguzi) ambayo hukusanya taarifa zinazohusiana na usalama kulingana na sheria zilizowekwa awali, kutoka kwa kernel na kuzalisha maingizo katika faili ya kumbukumbu.

ausearch ni zana rahisi ya mstari wa amri inayotumiwa kutafuta faili za kumbukumbu za daemon kulingana na matukio na vigezo tofauti vya utafutaji kama vile kitambulisho cha tukio, kitambulisho cha ufunguo, usanifu wa CPU, jina la amri, jina la mwenyeji, jina la kikundi au kitambulisho cha kikundi, syscall, ujumbe na zaidi. Pia inakubali data mbichi kutoka kwa stdin.

Kwa chaguo-msingi, ausearch huuliza faili /var/log/audit/audit.log, ambayo unaweza kutazama kama faili nyingine yoyote ya maandishi.

# cat /var/log/audit/audit.log
OR
# cat /var/log/audit/audit.log | less

Kutoka kwa picha ya skrini iliyo hapo juu, unaweza kuona data nyingi kutoka kwa faili ya kumbukumbu ikifanya iwe vigumu kupata taarifa mahususi zinazokuvutia.

Kwa hivyo unahitaji ausearch, ambayo huwezesha utafutaji wa habari kwa njia yenye nguvu na ufanisi zaidi kwa kutumia syntax ifuatayo.

# ausearch [options]

Alama ya -p inatumika kupitisha kitambulisho cha mchakato.

# ausearch -p 2317

Hapa, unahitaji kutumia chaguo la -m kutambua ujumbe mahususi na -sv ili kufafanua thamani ya mafanikio.

# ausearch -m USER_LOGIN -sv no 

The -ua hutumiwa kupitisha jina la mtumiaji.

# ausearch -ua tecmint
OR
# ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Ili kuuliza maswali kuhusu vitendo vilivyofanywa na mtumiaji fulani kutoka kwa kipindi fulani cha muda, tumia -ts kwa tarehe/saa ya kuanza na -te kwa kubainisha tarehe/saa ya mwisho kama ifuatavyo ( kumbuka kuwa unaweza kutumia maneno kama vile sasa, hivi majuzi, leo, jana, wiki hii, wiki iliyopita, mwezi huu, mwaka huu na vile vile sehemu ya ukaguzi badala ya fomati za wakati halisi).

# ausearch -ua tecmint -ts yesterday -te now -i 

Mifano zaidi juu ya kutafuta vitendo na mtumiaji fulani kwenye mfumo.

# ausearch -ua 1000 -ts this-week -i
# ausearch -ua tecmint -m USER_LOGIN -sv no -i

Iwapo ungependa kukagua mabadiliko yote ya mfumo yanayohusiana na akaunti za watumiaji, vikundi na majukumu; taja aina mbalimbali za ujumbe uliotenganishwa kwa koma kama ilivyo katika amri iliyo hapa chini (tunza orodha iliyotenganishwa kwa koma, usiache nafasi kati ya koma na bidhaa inayofuata):

# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Zingatia sheria ya ukaguzi hapa chini ambayo itaweka majaribio yoyote ya kufikia au kurekebisha hifadhidata ya akaunti za mtumiaji /etc/passwd.

# auditctl -w /etc/passwd -p rwa -k passwd_changes

Sasa, jaribu kufungua faili iliyo hapo juu kwa uhariri na uifunge, kama ifuatavyo.

# vi /etc/passwd

Kwa sababu tu unajua kuwa ingizo la logi limerekodiwa kuhusu hili, unaweza kutazama sehemu za mwisho za faili ya logi na amri ya mkia kama ifuatavyo:

# tail /var/log/audit/audit.log

Je, ikiwa matukio mengine kadhaa yamerekodiwa hivi majuzi, kupata taarifa mahususi itakuwa vigumu sana, lakini kwa kutumia ausearch, unaweza kupitisha -k bendera na thamani kuu uliyobainisha katika sheria ya ukaguzi ili kutazama yote. logi ujumbe kuhusu matukio ya kufanya na kupata au kurekebisha /etc/passwd faili.

Hii pia itaonyesha mabadiliko ya usanidi yaliyofanywa-kufafanua sheria za ukaguzi.

# ausearch -k passwd_changes | less

Kwa habari zaidi na chaguzi za utumiaji, soma ukurasa wa mtu wa ausearch:

# man ausearch

Ili kujua zaidi kuhusu ukaguzi wa mfumo wa Linux na usimamizi wa kumbukumbu, soma makala haya yafuatayo yanayohusiana.

1. Petiti - Zana ya Uchambuzi wa Kumbukumbu ya Chanzo Huria kwa Linux SysAdmins
2. Seva ya Kufuatilia Inaingia Katika Wakati Halisi kwa Zana ya \Log.io kwenye RHEL/CentOS 7/6
3. Jinsi ya Kuweka na Kudhibiti Mzunguko wa Kumbukumbu kwa Kutumia Logrotate katika Linux
4. lnav - Tazama na Uchanganue Kumbukumbu za Apache kutoka kwa Kituo cha Linux

Katika somo hili, tulielezea jinsi ya kutumia ausearch kupata data kutoka kwa faili iliyokaguliwa ya kumbukumbu kwenye RHEL na CentOS. Ikiwa una maswali au mawazo ya kushiriki, tumia sehemu ya maoni ili kufikia sisi.

Katika nakala yetu inayofuata, tutaelezea jinsi ya kuunda ripoti kutoka kwa faili za kumbukumbu za ukaguzi kwa kutumia aureport katika RHEL/CentOS/Fedora.