Утилита ausearch — инструмент командной строки Linux, входящий в состав пакета audit. Эта утилита была специально разработана для поиска и отображения записей из файлов журнала аудита, генерируемых Linux Auditing System.
В этой статье мы расскажем, как использовать инструмент ausearch в дистрибутивах CentOS / RHEL Linux.
Содержание:
- Синтаксис команды ausearch
- Вывод записей аудита на основе PID процесса
- Анализ неудачных попыток входа в ОС
- Поиск записей аудита на основе имени пользователя
- Вывод событий изменений параметров учетных записей пользователей
- Поиск записей, которые соответствуют определенному правилу аудита
- Выводы
Синтаксис команды ausearch
Хоть команда ausearch и играет важную роль в процессе аудита ОС, она имеет очень простой синтаксис:
Где [options] — необязательные опции, которые расширяют функционал команды.
По умолчанию инструмент ausearch ищет записи аудита в файле /var/log/audit/audit.log. Вы можете просмотреть содержимое этого документа с помощью команды cat:
Читайте также: Аудит системных вызовов команд с помощью autrace в CentOS / RHEL Linux.
Вывод записей аудита на основе PID процесса
В файл /var/log/audit/audit.log записывается подробная информация о событиях, которые произошли в ОС, включая:
- имя пользователя;
- идентификатор процесса;
- тип события;
- системные вызовы;
- успешность выполнения события и так далее.
Используя команду ausearch с опцией -p, Вы можете вывести на экран только события, которые связаны с определенным процессом. Для этого в качестве аргумента к параметру следует указать идентификатор нужного процесса:
Читайте также: Команда vtop для мониторинга процессов и памяти Linux.
Анализ неудачных попыток входа в ОС
С помощью утилиты ausearch Вы можете просмотреть список неудачных попыток входа пользователей в операционную систему. Чтобы это сделать, выполните в терминале:
Где:
-m USER_LOGIN— опция, указывающая вывести записи событий входа пользователей в ОС;-s no— опция с аргументомno, которая указывает отобразить только неудачные попытки входа;-v— параметр, который используется для предоставления подробной информации о каждом событии.
Читайте также: Как отключить логин root по ssh в Linux.
Поиск записей аудита на основе имени пользователя
У Вас есть возможность вывести на экран события, которые были созданы определенным пользователем. Для этого выполните команду ausearch с опциями -u и -a, а также именем пользователя в качестве аргумента:
Дополнительно Вы можете указать временной интервал для поиска системных событий. Чтобы задать начальную точку диапазона, используйте параметр -ts, конечную — -te. К примеру, выведем на экран события пользователя user1, которые были записаны вчера и сегодня:
Вывод событий изменений параметров учетных записей пользователей
В процессе аудита в лог файл /var/log/audit/audit.log могут записываться события, связанные с управлением учетными записями пользователей и их групп, включая:
- изменение токенов аутентификации;
- назначение ролей и идентификаторов групп;
- переименование пользователей и так далее.
Вы можете вывести на экран такие события с помощью команды:
Где:
ADD_USER— запись при создании новой учетной записи пользователя;DEL_USER— запись при удалении учетной записи пользователя;USER_CHAUTHTOK— событие изменения пароля или маркера аутентификации пользователя;ADD_GROUP— запись при создании новой группы пользователей;DEL_GROUP— запись при удалении группы пользователей;CHGRP_ID— событие изменения идентификатора группы пользователей;ROLE_ASSIGN— запись при назначении роли пользователю или группе;ROLE_REMOVE— запись при удалении роли.
Читайте также: Как создать новую учетную запись sudo в Ubuntu Linux.
Поиск записей, которые соответствуют определенному правилу аудита
В предыдущей статье (Утилита auditd для аудита ОС в CentOS / RHEL Linux) мы рассказали, как создавать правила аудита с помощью демона auditd. Для примера напишем правило, которое будет отслеживать события, произошедшие с файлом /etc/passwd:
Чтобы просмотреть записи аудита, сделанные с помощью нашего правила passwd_changes, используем команду:
Выводы
Инструмент ausearch позволяет системным администраторам фильтровать лог-файлы аудита на основе различных критериев и выводить в терминал только определенные записи из /var/log/audit/audit.log. Надеемся, что эта статья была полезной для Вас!
Спасибо за время, уделенное прочтению статьи!
Если возникли вопросы — задавайте их в комментариях.
Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!
Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).
Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!
- Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
- Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
- Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
- Проведем вечерние онлайн-лекции на нашей платформе.
- Согласуем с вами удобное время для практик.
- Если хотите индивидуальный график — обсудим и реализуем.
- Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
- Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
- отредактировать или создать с нуля резюме;
- подготовиться к техническим интервью;
- подготовиться к конкурсу на понравившуюся вакансию;
- устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
