Cara Membuat Laporan dari Log Audit Menggunakan 'aureport' di CentOS/RHEL

Artikel ini adalah seri berkelanjutan kami tentang Audit Linux, dalam dua artikel terakhir kami telah menjelaskan cara menginstal dan mengaudit sistem Linux (CentOS dan RHEL) dan cara melakukan kueri log menggunakan utilitas pencarian.

Pada bagian ketiga ini, kami akan menjelaskan cara membuat laporan dari file log audit menggunakan utilitas aureport di distribusi Linux berbasis CentOS dan RHEL.

Baca Juga: Cara Membuat dan Mengirimkan Laporan Aktivitas Sistem Menggunakan Perangkat Linux

Apa itu aureport?

aureport adalah utilitas baris perintah yang digunakan untuk membuat laporan ringkasan berguna dari file log audit yang disimpan di /var/log/audit/. Seperti ausearch, ia juga menerima data log mentah dari stdin.

Ini adalah utilitas yang mudah digunakan; cukup berikan opsi untuk jenis laporan tertentu yang Anda perlukan, seperti yang ditunjukkan pada contoh di bawah.

Buat Laporan Mengenai Kunci Aturan Audit

Perintah aurepot akan menghasilkan laporan tentang semua kunci yang Anda tentukan dalam aturan audit, menggunakan tanda -k.

aureport -k

Anda dapat mengaktifkan penafsiran entitas numerik menjadi teks (misalnya mengubah UID menjadi nama akun) menggunakan opsi -i.

aureport -k -i

Buat Laporan Tentang Upaya Otentikasi

Jika Anda memerlukan laporan tentang semua peristiwa terkait upaya autentikasi untuk semua pengguna, gunakan opsi -au.

aureport -au 
OR
aureport -au -i

Menghasilkan Laporan Mengenai Login

Opsi -l memberitahu aureport untuk membuat laporan semua login sebagai berikut.

Laporkan Peristiwa Gagal pada Sistem

Perintah berikut menunjukkan cara melaporkan semua kejadian yang gagal.

aureport --failed

Hasilkan Laporan Ringkasan untuk Periode Waktu Tertentu

Dimungkinkan juga untuk menghasilkan laporan untuk jangka waktu tertentu; -ts menentukan tanggal/waktu mulai dan -te menetapkan tanggal/waktu berakhir. Anda juga dapat menggunakan kata-kata seperti sekarang, terkini, hari ini, kemarin, minggu ini, minggu lalu, bulan ini, tahun ini sebagai pengganti format waktu sebenarnya.

aureport -ts 09/19/2017 15:20:00 -te now --summary -i 
OR
aureport -ts yesterday -te now --summary -i

Menghasilkan laporan Dari File Log Audit yang Berbeda

Jika Anda ingin membuat laporan dari file lain selain file log default di direktori /var/log/audit, gunakan tanda -if untuk menentukan file.

Perintah ini melaporkan semua login yang tercatat di /var/log/tecmint/hosts/node1.log.

aureport -l -if /var/log/tecmint/hosts/node1.log

Anda dapat menemukan semua opsi dan informasi lebih lanjut di halaman manual aureport.

man aureport

Di bawah ini adalah daftar artikel mengenai manajemen log, dan alat pembuatan laporan di Linux:

  1. 4 Alat Pemantauan dan Manajemen Log Sumber Terbuka yang Baik untuk Linux
  2. SARG – Pembuat Laporan Analisis Cumi dan Alat Pemantauan Bandwidth Internet
  3. Smem – Melaporkan Konsumsi Memori Per Proses dan Basis Per Pengguna di Linux
  4. Cara Mengelola Log Sistem (Konfigurasi, Putar, dan Impor Ke Database)

Dalam tutorial ini, kami menunjukkan cara membuat laporan ringkasan dari file log audit di RHEL/CentOS/Fedora. Gunakan bagian komentar di bawah untuk mengajukan pertanyaan atau berbagi pemikiran tentang panduan ini.

Selanjutnya, kami akan menunjukkan cara mengaudit proses tertentu menggunakan utilitas 'autrace', hingga saat itu, tetap terkunci di Tecmint.