Cara Mengkueri Log Audit Menggunakan Alat 'ausearch' di CentOS/RHEL

Pada artikel terakhir kami, kami telah menjelaskan cara mengaudit sistem RHEL atau CentOS menggunakan utilitas auditd. Sistem audit (auditd) adalah sistem pencatatan yang komprehensif dan tidak menggunakan syslog. Ia juga dilengkapi dengan seperangkat alat untuk mengelola sistem audit kernel serta mencari dan menghasilkan laporan dari informasi dalam file log.

Dalam tutorial ini, kami akan menjelaskan cara menggunakan alat ausearch untuk mengambil data dari file log auditd pada distribusi Linux berbasis RHEL dan CentOS.

Baca Juga: 4 Alat Pemantauan dan Manajemen Log Sumber Terbuka yang Baik untuk Linux

Seperti yang kami sebutkan sebelumnya, sistem audit memiliki daemon audit ruang pengguna (auditd) yang mengumpulkan informasi terkait keamanan berdasarkan aturan yang telah dikonfigurasi sebelumnya, dari kernel dan menghasilkan entri dalam file log.

Apa itu penelusuran?

ausearch adalah alat baris perintah sederhana yang digunakan untuk mencari file log daemon audit berdasarkan peristiwa dan kriteria pencarian berbeda seperti pengidentifikasi peristiwa, pengidentifikasi kunci, arsitektur CPU, nama perintah, nama host, nama grup, atau ID grup , syscall, pesan, dan lainnya. Ia juga menerima data mentah dari stdin.

Secara default, ausearch menanyakan file /var/log/audit/audit.log, yang dapat Anda lihat sama seperti file teks lainnya.

cat /var/log/audit/audit.log
OR
cat /var/log/audit/audit.log | less

Dari tangkapan layar di atas, Anda dapat melihat banyak sekali data dari file log sehingga sulit untuk mendapatkan informasi spesifik yang menarik.

Oleh karena itu, Anda memerlukan ausearch, yang memungkinkan pencarian informasi dengan cara yang lebih canggih dan efisien menggunakan sintaks berikut.

ausearch [options]

Periksa Log Proses yang Berjalan di File Log Auditd

Flag -p digunakan untuk meneruskan ID proses.

ausearch -p 2317

Periksa Upaya Masuk yang Gagal di File Log Auditd

Di sini, Anda perlu menggunakan opsi -m untuk mengidentifikasi pesan tertentu dan -sv untuk menentukan nilai keberhasilan.

ausearch -m USER_LOGIN -sv no

Temukan Aktivitas Pengguna di File Log Auditd

-ua digunakan untuk meneruskan nama pengguna.

ausearch -ua tecmint
OR
ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Untuk menanyakan tindakan yang dilakukan oleh pengguna tertentu dari jangka waktu tertentu, gunakan -ts untuk tanggal/waktu mulai dan -te untuk menentukan tanggal/waktu akhir sebagai berikut ( perhatikan bahwa Anda dapat menggunakan kata-kata seperti sekarang, terkini, hari ini, kemarin, minggu ini, minggu lalu, bulan ini, tahun ini serta pos pemeriksaan alih-alih format waktu sebenarnya).

ausearch -ua tecmint -ts yesterday -te now -i

Contoh lainnya tentang mencari tindakan oleh pengguna tertentu di sistem.

ausearch -ua 1000 -ts this-week -i
ausearch -ua tecmint -m USER_LOGIN -sv no -i

Temukan Modifikasi pada Akun Pengguna, Grup, dan Peran di Log Auditd

Jika Anda ingin meninjau semua perubahan sistem yang berkaitan dengan akun pengguna, grup, dan peran; tentukan berbagai jenis pesan yang dipisahkan koma seperti pada perintah di bawah ini (jaga daftar yang dipisahkan koma, jangan beri spasi antara koma dan item berikutnya):

ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

Cari File Log Auditd Menggunakan Nilai Kunci

Pertimbangkan aturan audit di bawah ini yang akan mencatat setiap upaya untuk mengakses atau memodifikasi database akun pengguna /etc/passwd.

auditctl -w /etc/passwd -p rwa -k passwd_changes

Sekarang, coba buka file di atas untuk diedit dan tutup, sebagai berikut.

vi /etc/passwd

Hanya karena Anda tahu bahwa entri log telah dicatat tentang hal ini, Anda mungkin melihat bagian terakhir dari file log dengan perintah tail sebagai berikut:

tail /var/log/audit/audit.log

Bagaimana jika beberapa peristiwa lain baru-baru ini direkam, menemukan informasi spesifik akan sangat sulit, namun menggunakan ausearch, Anda dapat meneruskan tanda -k dengan nilai kunci yang Anda tentukan dalam aturan audit untuk melihat semua pesan log mengenai peristiwa yang berkaitan dengan mengakses atau memodifikasi file /etc/passwd.

Ini juga akan menampilkan perubahan konfigurasi yang dibuat untuk menentukan aturan audit.

ausearch -k passwd_changes | less

Untuk informasi lebih lanjut dan opsi penggunaan, baca halaman manual ausearch:

man ausearch

Untuk mengetahui lebih banyak tentang audit sistem Linux dan manajemen log, baca artikel terkait berikut ini.

  1. Petiti – Alat Analisis Log Sumber Terbuka untuk SysAdmin Linux
  2. Pantau Log Server Secara Real-Time dengan Alat “Log.io” di RHEL/CentOS 7/6
  3. Cara Mengatur dan Mengelola Rotasi Log Menggunakan Logrotate di Linux
  4. lnav – Menonton dan Menganalisis Log Apache dari Terminal Linux

Dalam tutorial ini, kami menjelaskan cara menggunakan ausearch untuk mengambil data dari file log auditd di RHEL dan CentOS. Jika Anda memiliki pertanyaan atau pemikiran untuk dibagikan, gunakan bagian komentar untuk menghubungi kami.

Pada artikel berikutnya, kami akan menjelaskan cara membuat laporan dari file log audit menggunakan aureport di RHEL/CentOS/Fedora.