![Kako pronaći i ukloniti dvostruke glazbene datoteke iz sustava Windows 10](/f/e0e2f0580d5fbbbeb93f4b357701e5dc.png?width=100&height=100)
U prošlom članku objasnili smo kako to učiniti revizija sustava RHEL ili CentOS pomoću pomoćnog programa revizije. Sustav revizije (revizirao) sveobuhvatan je sustav zapisivanja podataka i ne koristi syslog po tom pitanju. Također dolazi sa skupom alata za upravljanje sustavom revizije jezgre, kao i za pretraživanje i izradu izvješća iz informacija u datotekama dnevnika.
U ovom vodiču ćemo objasniti kako se koristi ausearch alat za preuzimanje podataka revizirao log datoteke na distribucijama Linuxa zasnovanim na RHEL -u i CentOS -u.
Pročitajte također: 4 Dobri alati za praćenje i upravljanje zapisima otvorenog koda za Linux
Kao što smo ranije spomenuli, sustav revizije ima korisnički prostor demon revizije (revizirao) koji prikuplja informacije vezane uz sigurnost na temelju unaprijed konfiguriranih pravila iz jezgre i generira unose u datoteku dnevnika.
ausearch je jednostavan alat naredbenog retka koji se koristi za pretraživanje datoteka evidencije demona revizije na temelju događaja i različitih kriterija pretraživanja, kao što je identifikator događaja, identifikator ključa, arhitektura CPU -a, naziv naredbe, naziv hosta, naziv grupe ili ID grupe, sistemski poziv, poruke i Iznad. Također prihvaća neobrađene podatke iz stdin -a.
Prema zadanim postavkama, ausearch upite za /var/log/audit/audit.log datoteku koju možete vidjeti kao i svaku drugu tekstualnu datoteku.
# cat /var/log/audit/audit.log. ILI. # cat /var/log/audit/audit.log | manje.
Na gornjoj snimci zaslona možete vidjeti puno podataka iz datoteke dnevnika što otežava dobivanje određenih informacija od interesa.
Stoga vam je potrebno ausearch, koji omogućuje pretraživanje informacija na snažniji i učinkovitiji način pomoću sljedeće sintakse.
# ausearch [opcije]
The -str
zastava se koristi za prosljeđivanje ID -a procesa.
# ausearch -p 2317.
Ovdje morate koristiti -m
mogućnost identificiranja određenih poruka i -sv
za definiranje vrijednosti uspjeha.
# ausearch -m USER_LOGIN -sv br
The -ua koristi se za prolaz a Korisničko ime.
# ausearch -ua tecmint. ILI. # ausearch -ua tecmint -i # omogućuju tumačenje numeričkih entiteta u tekst.
Da biste upitali radnje koje je izveo određeni korisnik u danom vremenskom razdoblju, koristite -ts
za datum/vrijeme početka i -te
za navođenje datuma/vremena završetka na sljedeći način (imajte na umu da možete koristiti riječi poput sada, nedavno, danas, jučer, ovaj tjedan, prije tjedan dana, ovaj mjesec, ove godine, kao i kontrolna točka umjesto stvarnog vremena formati).
# ausearch -ua tecmint -ts jučer -te sada -i
Još primjera traženja radnji od strane danog korisnika u sustavu.
# ausearch -ua 1000 -ts ovaj tjedan -i. # ausearch -ua tecmint -m USER_LOGIN -sv ne -i.
Ako želite pregledati sve promjene sustava u vezi s korisničkim računima, grupama i ulogama; navedite različite vrste poruka razdvojenih zarezima kao u naredbi ispod (vodite računa o popisu odvojenom zarezima, ne ostavljajte razmak između zareza i sljedeće stavke):
# ausearch -m ADD_USER, DEL_USER, USER_CHAUTHTOK, ADD_GROUP, DEL_GROUP, CHGRP_ID, ROLE_ASSIGN, ROLE_REMOVE -i.
Razmotrite pravilo revizije u nastavku koje će zabilježiti sve pokušaje pristupa ili izmjenu /etc/passwd baza korisničkih računa.
# auditctl -w /etc /passwd -p rwa -k passwd_changes.
Sada pokušajte otvoriti gornju datoteku za uređivanje i zatvoriti je, kako slijedi.
# vi /etc /passwd.
Samo zato što znate da je o tome snimljen unos dnevnika, vjerojatno biste posljednje dijelove datoteke dnevnika pregledali s naredba repa kako slijedi:
# tail /var/log/audit/audit.log.
Što ako je nedavno zabilježeno nekoliko drugih događaja, pronalaženje konkretnih informacija bilo bi tako teško, ali pomoću ausearch, možete položiti -k
označite vrijednošću ključa koju ste naveli u pravilu revizije za pregled svih poruka dnevnika koje se odnose na događaje u vezi s pristupom ili promjenom /etc/passwd datoteka.
Ovo će također prikazati napravljene promjene konfiguracije-definiranje pravila revizije.
# ausearch -k passwd_changes | manje.
Za više informacija i mogućnosti korištenja pročitajte stranicu ausearch man:
# čovjek ausearch.
Da biste saznali više o reviziji sustava Linux i upravljanju zapisnicima, pročitajte ove sljedeće povezane članke.
U ovom smo vodiču opisali kako se koristi ausearch za dohvaćanje podataka iz revizijske datoteke dnevnika na RHEL -u i CentOS -u. Ako imate pitanja ili razmišljanja za podijeliti, kontaktirajte nas putem odjeljka za komentare.
U našem sljedećem članku objasnit ćemo kako stvoriti izvješća iz datoteka dnevnika revizije pomoću aureport u RHEL -u/CentOS -u/Fedori.