Otu esi ajụ ajụjụ nyocha ndekọ site na iji ngwa ausearch na CentOS/RHEL


N'edemede ikpeazụ anyị, anyị akọwala otu esi enyocha RHEL ma ọ bụ sistemụ CentOS site na iji ọrụ nyocha. Sistemụ nyocha (auditd) bụ usoro ndekọ ndekọ zuru oke na anaghị eji syslog maka nke ahụ. Ọ na-abịa na ngwa-nhazi maka ijikwa sistemụ nyocha kernel yana ịchọ na iwepụta akụkọ sitere na ozi dị na faịlụ ndekọ.

N'ime nkuzi a, anyị ga-akọwa etu esi eji ngwa ausearch weghachite data sitere na faịlụ ndekọ ndekọ na nkesa Linux RHEL na CentOS dabere.

Dị ka anyị kwuru na mbụ, usoro nyocha ahụ nwere ihe nyocha nke onye ọrụ-space audit daemon (auditd) nke na-achịkọta ozi metụtara nchekwa dabere na iwu ahaziri ahazi, site na kernel wee mepụta ntinye na faịlụ log.

ausearch bụ ngwa ahịrị ahịrị dị mfe nke a na-eji na-achọ faịlụ ndekọ ndekọ nyocha daemon dabere na ihe omume na njirisi ọchụchọ dị iche iche dị ka njirimara mmemme, ihe nchọpụta igodo, ụkpụrụ CPU, aha iwu, aha nnabata, aha otu ma ọ bụ ID otu, sysscall, ozi na gafere. Ọ na-anabatakwa data raw sitere na stdin.

Site na ndabara, ausearch na-ajụ faịlụ /var/log/audit/audit.log, nke ị nwere ike ịlele dị ka faịlụ ederede ọ bụla ọzọ.

# cat /var/log/audit/audit.log
OR
# cat /var/log/audit/audit.log | less

Site na nseta ihuenyo dị n'elu, ị nwere ike ịhụ ọtụtụ data sitere na faịlụ ndekọ na-eme ka ọ sie ike ịnweta ozi mmasị kpọmkwem.

Ya mere, ịchọrọ ausearch, nke na-enyere aka ịchọ ozi n'ụzọ dị ike na nke ọma site na iji syntax ndị a.

# ausearch [options]

A na-eji ọkọlọtọ -p nyefee ID nhazi.

# ausearch -p 2317

N'ebe a, ịkwesịrị iji -m nhọrọ iji chọpụta ozi akọwapụtara yana -sv iji kọwapụta uru ịga nke ọma.

# ausearch -m USER_LOGIN -sv no 

A na-eji -ua nyefee aha njirimara.

# ausearch -ua tecmint
OR
# ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Iji jụọ ajụjụ ụfọdụ onye ọrụ mere site na oge enyere, jiri -ts maka mmalite ụbọchị/oge yana -te maka ịkọwa ụbọchị/oge ngwụcha dịka ndị a ( mara na i nwere ike iji okwu ndị dị ka ugbu a, na-adịbeghị anya, taa, ụnyaahụ, nke a-izu, izu-gara aga, nke a-ọnwa, nke a-afọ nakwa dị ka checkpoint kama n'ezie time formats).

# ausearch -ua tecmint -ts yesterday -te now -i 

Ọmụmaatụ ndị ọzọ gbasara ịchọ omume nke onye ọrụ nyere na sistemụ ahụ.

# ausearch -ua 1000 -ts this-week -i
# ausearch -ua tecmint -m USER_LOGIN -sv no -i

Ọ bụrụ na ịchọrọ inyocha mgbanwe sistemụ niile metụtara akaụntụ onye ọrụ, otu na ọrụ; ezipụta ụdị ozi dị iche iche rịkọm dị iche iche dị ka ọ dị n'iwu dị n'okpuru (lekọta ndepụta rịkọm dị iche, hapụ ohere n'etiti rịkọm na ihe na-esote):

# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Tụlee iwu nyocha dị n'okpuru nke ga-abanye na mbọ ọ bụla iji nweta ma ọ bụ gbanwee nchekwa data akaụntụ onye ọrụ /etc/passwd.

# auditctl -w /etc/passwd -p rwa -k passwd_changes

Ugbu a, gbalịa imepe faịlụ dị n'elu maka idezi ma mechie ya, dị ka ndị a.

# vi /etc/passwd

Naanị n'ihi na ịmara na edekọla ndekọ ndekọ banyere nke a, ị nwere ike lelee akụkụ ikpeazụ nke faịlụ ndekọ ahụ na iwu ọdụ dị ka ndị a:

# tail /var/log/audit/audit.log

Kedu ihe ma ọ bụrụ na edekọla ọtụtụ ihe omume ndị ọzọ n'oge na-adịbeghị anya, ịchọta ozi a kapịrị ọnụ ga-esi nnọọ ike, mana iji ausearch, ị nwere ike nyefee ọkọlọtọ -k yana uru igodo ị depụtara na iwu nyocha iji lelee ihe niile. ndekọ ndekọ banyere mmemme ime na ịnweta ma ọ bụ gbanwee /etc/passwd faịlụ.

Nke a ga-egosipụtakwa mgbanwe nhazi mere-akọwapụta iwu nyocha.

# ausearch -k passwd_changes | less

Maka ozi ndị ọzọ na nhọrọ ojiji, gụọ ibe ausearch man:

# man ausearch

Ka ịmatakwu gbasara nyocha sistemụ Linux na njikwa ndekọ, gụọ akụkọ ndị a metụtara.

  1. Petiti – Ngwá Ọrụ Analysis Log Source maka Linux SysAdmins
  2. Nyochaa ihe nkesa na-abanye n'oge na-eji ngwá ọrụ Log.io na RHEL/CentOS 7/6
  3. Otu esi ahazi na jikwaa ntugharị ndekọ site na iji Logrotate na Linux
  4. lnav - Lelee ma nyochaa ndekọ ndekọ Apache site na Linux Terminal

N'ime nkuzi a, anyị kọwara otu esi eji ausearch nweta data sitere na faịlụ ndekọ nyocha na RHEL na CentOS. Ọ bụrụ na ị nwere ajụjụ ọ bụla ma ọ bụ echiche ị ga-ekekọrịta, jiri ngalaba nkọwa nweta anyị.

N'isiokwu anyị na-esote, anyị ga-akọwa otu esi emepụta akụkọ sitere na faịlụ ndekọ ndekọ site na iji aureport na RHEL/CentOS/Fedora.