Aureport: Gere resumos de registros do sistema

Aureport
terminal-linux

Aureport é uma ferramenta que produz relatórios resumidos dos registros do sistema para uma auditoria. Este utilitário também pode usar o stdin sempre que a entrada é a informação de registro não processada. Os relatórios possuem um rótulo de coluna no topo para ajudar na interpretação dos vários campos. Com exceção do relatório de resumo principal, todos os relatórios possuem um número de evento de auditoria.
Os relatórios produzidos pelo Aureport podem ser usados como blocos de construção para análises mais complicadas. Este não é um comando complexo. Assim, nesta publicação veremos como esse comando pode ser usado para gerar relatórios do nosso sistema.

Instalação do Aureport

Para instalar esta ferramenta no Ubuntu, precisaremos instalar o auditd. Ele é um componente do sistema de auditoria Gnu/Linux. Após a instalação, poderemos ver os registros com os utilitários ausearch ou aureport. O auditd daemon permite ao administrador de um sistema Gnu/Linux receber as informações de auditoria de segurança que o kernel gera, filtrá-lo e armazená-lo em arquivos.
Para realizar a instalação basta digitar no terminal (Ctrl + Alt + T) o seguinte comando:

sudo apt install auditd

Com isso, teremos instalado tudo o que é necessário e podemos usar essa ferramenta no terminal. Se você não usar a conta root, você terá que adicionar sudo a cada um dos comandos.

Usando o Aureport

Podemos executar o relatório de resumo que nos fornece um total dos elementos do relatório principal. Tenha em mente que nem todos os relatórios têm um resumo a ser usado.
Se quisermos obter o relatório de resumo que o aureport pode nos fornecer, basta executar o seguinte comando no terminal (Ctrl + Alt + T).

aureport

O relatório de resumo é gerado como resultado:
aureport
No caso, se quisermos gerar o relatório de autenticação, teremos que executar o comando usando o parâmetro au. No terminal execute:

aureport -au

O comando também pode nos mostrar o relatório de executáveis do nosso sistema. Para obter este relatório, teremos que executar o comando com a opção x no nosso terminal:

aureport -x

Para selecionar os eventos com falha para processá-los nos relatórios, teremos que adicionar a opção failed. O valor padrão é successful. Teremos que escrever o comando como mostrado abaixo:

aureport --failed

Se o que queremos ver é o relatório de login, teremos que executar o comando usando a opção l:

aureport -l

Ver o relatório criptográfico também é possível se usarmos o comando com a opção cr:

aureport -cr

Também podemos verificar nosso relatório de modificação de conta. Teremos apenas que adicionar a opção m.

aureport -m

Para ver o relatório PID, só teremos que adicionar a opção p ao comando:

aureport -p

Além disso, podemos ver o relatório de chamada do sistema (Syscall) usando a opção s.

aureport -s

Para terminar, poderemos ver as opções disponíveis para este comando. Basta adicionar a opção de ajuda ao comando aureport.

aureport --help