En nuestro último artículo, explicamos cómo auditar el sistema RHEL o CentOS utilizando la utilidad auditd. El sistema de auditoría ( auditd ) es un sistema de registro completo y no usa syslog para el caso. También viene con un conjunto de herramientas para administrar el sistema de auditoría del kernel, así como para buscar y producir informes a partir de la información de los archivos de registro.
En este tutorial, explicaremos cómo usar una herramienta de <strong>búsqueda</strong> para recuperar datos de archivos de registro auditados en distribuciones de Linux basadas en RHEL y CentOS.
Lea también : 4 buenas herramientas de administración y monitoreo de registros de código abierto para Linux
Como mencionamos anteriormente, el sistema de auditoría tiene un demonio de auditoría de espacio de usuario ( auditd ) que recopila información relacionada con la seguridad basada en reglas preconfiguradas, desde el kernel y genera entradas en un archivo de registro.
¿Qué es ausearch?
ausearch es una herramienta de línea de comandos simple que se utiliza para buscar los archivos de registro del demonio de auditoría en función de eventos y diferentes criterios de búsqueda, como identificador de evento, identificador de clave, arquitectura de CPU, nombre de comando, nombre de host, nombre de grupo o ID de grupo, syscall, mensajes y más. También acepta datos sin procesar de stdin.
De forma predeterminada, ausearch consulta el archivo /var/log/audit/audit.log , que puede ver como cualquier otro archivo de texto.
# cat /var/log/audit/audit.log OR # cat /var/log/audit/audit.log | less
Ver archivos de registro auditados
En la captura de pantalla anterior, puede ver una gran cantidad de datos del archivo de registro, lo que dificulta la obtención de información específica de interés.
Por lo tanto, necesita unusearch , que permite buscar información de una manera más potente y eficiente utilizando la siguiente sintaxis.
# ausearch [options]
Verificar los registros del proceso en ejecución en el archivo de registro Auditd
La -pbandera se utiliza para pasar un ID de proceso.
# ausearch -p 2317
Compruebe los registros de procesos de Linux
Compruebe los intentos fallidos de inicio de sesión en el archivo de registro auditado
Aquí, debe utilizar la -mopción para identificar mensajes específicos y -svdefinir el valor de éxito.
# ausearch -m USER_LOGIN -sv no
Buscar intentos de inicio de sesión fallidos en los registros
Buscar la actividad del usuario en el archivo de registro auditado
La -ua se usa para pasar un nombre de usuario .
# ausearch -ua tecmint OR # ausearch -ua tecmint -i# enable interpreting of numeric entities into text.
Buscar actividad de usuario en Linux
Para consultar las acciones realizadas por un determinado usuario en un período de tiempo determinado, use -tspara la fecha / hora de inicio y -tepara especificar la fecha / hora de finalización de la siguiente manera (tenga en cuenta que puede usar palabras como ahora, reciente, hoy, ayer, esto- semana, semana atrás, este mes, este año, así como punto de control en lugar de formatos de tiempo real).
# ausearch -ua tecmint -ts yesterday -te now -i
Encontrar la actividad del usuario en un tiempo específico
Más ejemplos sobre la búsqueda de acciones de un usuario determinado en el sistema.
# ausearch -ua 1000 -ts this-week -i # ausearch -ua tecmint -m USER_LOGIN -sv no -i
Encuentre modificaciones en cuentas de usuario, grupos y roles en registros auditados
Si desea revisar todos los cambios del sistema relacionados con cuentas de usuario, grupos y roles especifique varios tipos de mensajes separados por comas como en el siguiente comando (cuide la lista separada por comas, no deje espacios entre una coma y el siguiente elemento):
# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE -i
Verificar cambios en el sistema Linux
Buscar archivo de registro auditado mediante el valor clave
Considere la regla de auditoría a continuación que registrará cualquier intento de acceder o modificar la base de datos de cuentas de usuario / etc / passwd .
# auditctl -w /etc/passwd -p rwa -k passwd_changes
Ahora, intente abrir el archivo anterior para editarlo y ciérrelo, de la siguiente manera.
# vi /etc/passwd
Solo porque sabe que se ha registrado una entrada de registro sobre esto, posiblemente verá las últimas partes del archivo de registro con el comando tail de la siguiente manera:
# tail /var/log/audit/audit.log
¿Qué pasa si se han registrado recientemente varios otros eventos, encontrar la información específica sería muy difícil, pero usando ausearch , puede pasar la <strong>marca</strong>-k con el valor de clave que especificó en la regla de auditoría para ver todos los mensajes de registro relacionados con eventos relacionados con el acceso o modificando el archivo / etc / passwd .
Esto también mostrará los cambios de configuración realizados para definir las reglas de auditoría.
# ausearch -k passwd_changes | less
Verifique los cambios de contraseña de los usuarios del sistema
Para obtener más información y opciones de uso, lea la página del manual de ausearch:
# man ausearch
Para saber más sobre la gestión de registros y auditoría del sistema Linux, lea los siguientes artículos relacionados.
- Petiti: una herramienta de análisis de registros de código abierto para administradores de sistemas Linux
- Supervise los registros del servidor en tiempo real con la herramienta “Log.io” en RHEL / CentOS 7/6
- Cómo configurar y administrar la rotación de registros usando Logrotate en Linux
- lnav: vea y analice los registros de Apache desde una terminal de Linux
En este tutorial, describimos cómo usar ausearch para recuperar datos de un archivo de registro auditado en RHEL y CentOS. Si tiene alguna pregunta o pensamiento que compartir, utilice la sección de comentarios para comunicarse con nosotros.
En nuestro próximo artículo, explicaremos cómo crear informes a partir de archivos de registro de auditoría utilizando aureport en RHEL / CentOS / Fedora.
CentOS , auditoría de Linux , RedHat
