CentOS/RHEL-de gözleg guralyny ulanyp, audit surnallaryny nädip soramaly

Geçen makalamyzda, auditd kömekçi programmasyny ulanyp, RHEL ýa-da CentOS ulgamyny nädip barlamalydygyny düşündirdik. Gözegçilik ulgamy (auditd) giňişleýin hasaba alyş ulgamy bolup, bu meselede syslog ulanmaýar. Şeýle hem, ýadro gözegçilik ulgamyny dolandyrmak, gündelik faýllardaky maglumatlardan hasabat gözlemek we öndürmek üçin gurallar toplumy bar.

Bu gollanmada, RHEL we CentOS esasly Linux paýlamalarynda auditd log faýllaryndan maglumatlary almak üçin gözleg guralyny nähili ulanmalydygyny düşündireris.

Öň hem belläp geçişimiz ýaly, gözegçilik ulgamynda ýadrodan öňünden düzülen düzgünlere esaslanyp, howpsuzlyk bilen baglanyşykly maglumatlary ýygnaýan we gündelik faýlda ýazgylary döredýän ulanyjy giňişliginde audit daemon (auditd) bar.

gözleg, hadysalary kesgitleýji, açar kesgitleýji, CPU arhitekturasy, buýruk ady, host ady, toparyň ady ýa-da topar ID, syscall, habarlar we ş.m. ýaly wakalara we dürli gözleg kriteriýalaryna esaslanýan audit daemon gündelik faýllaryny gözlemek üçin ulanylýan ýönekeý buýruk setir guralydyr. Şeýle hem stdin-den çig maglumatlary kabul edýär.

Düzgüne görä, gözleg beýleki tekst faýllary ýaly görüp boljak /var/log/audit/audit.log faýlyny soraýar.

# cat /var/log/audit/audit.log
OR
# cat /var/log/audit/audit.log | less

Aboveokardaky skrinshotdan, gündelik faýldan köp gyzyklanma maglumatlaryny almak kynlaşdyrýan maglumatlary görüp bilersiňiz.

Şonuň üçin aşakdaky sintaksis ulanyp, maglumatlary has güýçli we täsirli görnüşde gözlemäge mümkinçilik berýän gözleg gerek.

# ausearch [options]

-p baýdagy amal ID-ni geçirmek üçin ulanylýar.

# ausearch -p 2317

Bu ýerde, üstünligiň bahasyny kesgitlemek üçin belli habarlary we -sv kesgitlemek üçin -m opsiýasyny ulanmaly.

# ausearch -m USER_LOGIN -sv no

-Ua ulanyjy adyny geçirmek üçin ulanylýar.

# ausearch -ua tecmint
OR
# ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

Belli bir wagtdan belli bir ulanyjy tarapyndan ýerine ýetirilen hereketleri soramak üçin, başlangyç senesi/wagty üçin -ts we ahyrky senäni/wagtyny kesgitlemek üçin -te ulanyň ( şu wagt, soňky, şu gün, düýn, şu hepde, hepde-öň, şu aý, şu ýyl ýaly sözleri ulanyp biljekdigiňize üns beriň, hakyky wagt formatlarynyň ýerine barlag nokady).

# ausearch -ua tecmint -ts yesterday -te now -i

Ulgamda berlen ulanyjynyň hereketlerini gözlemek barada has köp mysal.

# ausearch -ua 1000 -ts this-week -i
# ausearch -ua tecmint -m USER_LOGIN -sv no -i

Ulanyjy hasaplary, toparlary we rollary bilen baglanyşykly ähli ulgam üýtgeşmelerini gözden geçirmek isleseňiz; Aşakdaky buýrukdaky ýaly dürli vergi bilen bölünen habar görnüşlerini görkeziň (vergi bilen bölünen sanawdan alada ediň, vergi bilen indiki elementiň arasynda boş ýer goýmaň):

# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

/ Etc/passwd ulanyjy hasaplar bazasyna girmek ýa-da üýtgetmek synanyşyklaryny hasaba aljak aşakdaky gözegçilik düzgünine serediň.

# auditctl -w /etc/passwd -p rwa -k passwd_changes

Indi redaktirlemek üçin ýokardaky faýly açmaga we aşakdaky ýaly ýapmaga synanyşyň.

# vi /etc/passwd

Bu barada gündelik ýazgynyň ýazylandygyny bilýänligiňiz sebäpli, gündelik faýlyň soňky böleklerini guýruk buýrugy bilen görüp bilersiňiz:

# tail /var/log/audit/audit.log

Recentlyakynda başga-da birnäçe waka ýazylan bolsa, anyk maglumatlary tapmak gaty kyn bolardy, ýöne gözleg arkaly, hemmesini görmek üçin audit düzgüninde görkezen esasy bahaňyz bilen -k baýdagyny geçip bilersiňiz./etc/passwd faýlyna girmek ýa-da üýtgetmek bilen baglanyşykly wakalara degişli habarlary hasaba alyň.

Şeýle hem, gözegçilik düzgünleriniň kesgitlenen konfigurasiýa üýtgeşmelerini görkezer.

# ausearch -k passwd_changes | less

Has giňişleýin maglumat we ulanyş opsiýalary üçin gözleg adam sahypasyny okaň:

# man ausearch

Linux ulgamynyň barlagy we gündelik dolandyryşy barada has giňişleýin maglumat üçin aşakdaky degişli makalalary okaň.

  1. Petiti - Linux SysAdmins üçin açyk çeşme log analiz guraly
  2. RHEL/CentOS 7/6-da\Log.io guraly bilen hakyky wagtda girýän serwer ýazgylaryna
  3. Linux-da Logrotate ulanyp, log aýlanyşyny nädip sazlamaly we dolandyrmaly
  4. lnav - Linux terminalyndan Apache surnallaryny görüň we derňäň

Bu gollanmada, RHEL we CentOS-daky audit log faýlyndan maglumatlary almak üçin gözleg gözlegini nädip ulanmalydygyny düşündirdik. Paýlaşmak üçin soraglaryňyz ýa-da pikirleriňiz bar bolsa, bize ýetmek üçin teswir bölümini ulanyň.

Indiki makalamyzda, RHEL/CentOS/Fedora-da aureport ulanyp, audit gündelik faýllaryndan hasabatlary nädip döretmelidigini düşündireris.