CentOS / RHEL पर 'ausearch' टूल का उपयोग करके ऑडिट लॉग को कैसे करें

हमारे पिछले लेख में, हमने बताया है कि ऑडिट उपयोगिता का उपयोग करके आरएचईएल या सेंटोस प्रणाली का ऑडिट कैसे किया जाए। ऑडिट सिस्टम ( ऑडिट ) एक व्यापक लॉगिंग सिस्टम है और उस मामले के लिए syslog का उपयोग नहीं करता है। यह कर्नेल ऑडिट सिस्टम को प्रबंधित करने के साथ-साथ लॉग फाइलों में जानकारी से रिपोर्ट बनाने और रिपोर्ट करने के लिए एक टूल-सेट के साथ भी आता है।

इस ट्यूटोरियल में, हम बताएंगे कि आरएचईएल और सेंटोस आधारित लिनक्स वितरण पर ऑडिट लॉग फ़ाइलों से डेटा पुनर्प्राप्त करने के लिए ausearch उपकरण का उपयोग कैसे करें।

जैसा कि हमने पहले उल्लेख किया है, ऑडिटिंग सिस्टम में एक उपयोगकर्ता-स्थान ऑडिट डेमॉन ( ऑडिट ) है, जो कर्नेल से और पूर्व-कॉन्फ़िगर किए गए नियमों के आधार पर सुरक्षा से संबंधित जानकारी एकत्र करता है। एक लॉग फ़ाइल में प्रविष्टियाँ उत्पन्न करता है।

ausearch घटनाओं के आधार पर ऑडिट डेमॉन लॉग फ़ाइलों और ईवेंट आइडेंटिफ़ायर, मुख्य पहचानकर्ता, सीपीयू आर्किटेक्चर, कमांड नाम, होस्टनाम, समूह का नाम या समूह आईडी के आधार पर खोज करने के लिए उपयोग किया जाने वाला एक सरल कमांड लाइन टूल है , syscall, संदेश और परे। यह स्टड से कच्चे डेटा को भी स्वीकार करता है।

डिफ़ॉल्ट रूप से, ausearch क्वेरीज़ /var/log/audit/audit.log फ़ाइल, जिसे आप किसी अन्य पाठ फ़ाइल की तरह देख सकते हैं।

# cat /var/log/audit/audit.log
OR
# cat /var/log/audit/audit.log | less

ऊपर दिए गए स्क्रीनशॉट से, आप लॉग फ़ाइल से बहुत सारे डेटा देख सकते हैं जिससे ब्याज की विशेष जानकारी प्राप्त करना मुश्किल हो जाता है।

इसलिए आपको ausearch की आवश्यकता है, जो निम्नलिखित सिंटैक्स का उपयोग करके अधिक शक्तिशाली और कुशल तरीके से जानकारी खोजने में सक्षम बनाता है।

# ausearch [options]

प्रक्रिया कोड को पास करने के लिए -p ध्वज का उपयोग किया जाता है।

# ausearch -p 2317

यहां, आपको विशिष्ट संदेशों की पहचान करने के लिए -m विकल्प का उपयोग करने की आवश्यकता है और सफलता मूल्य को परिभाषित करने के लिए <-sv कोड।

# ausearch -m USER_LOGIN -sv no

-ua का उपयोग उपयोगकर्ता नाम पास करने के लिए किया जाता है।

# ausearch -ua tecmint
OR
# ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

किसी निश्चित उपयोगकर्ता द्वारा दी गई अवधि के अनुसार क्रियाओं को क्वेरी करने के लिए, प्रारंभ दिनांक/समय के लिए -ts का उपयोग करें और अंतिम तिथि/समय निर्दिष्ट करने के लिए -te का उपयोग इस प्रकार करें ( ध्यान दें कि आप अब, हाल, आज, कल, यह-सप्ताह, सप्ताह-पूर्व, इस-माह, इस वर्ष के साथ-साथ वास्तविक समय प्रारूपों के बजाय चेकपॉइंट) जैसे शब्दों का उपयोग कर सकते हैं।

# ausearch -ua tecmint -ts yesterday -te now -i

सिस्टम पर दिए गए उपयोगकर्ता द्वारा कार्यों की खोज करने पर अधिक उदाहरण।

# ausearch -ua 1000 -ts this-week -i
# ausearch -ua tecmint -m USER_LOGIN -sv no -i

यदि आप उपयोगकर्ता खातों, समूहों और भूमिकाओं के साथ करने के लिए सभी सिस्टम परिवर्तनों की समीक्षा करना चाहते हैं; नीचे दिए गए आदेश के अनुसार विभिन्न अल्पविराम से अलग संदेश प्रकार निर्दिष्ट करें (अल्पविराम से अलग सूची का ध्यान रखें, अल्पविराम और अगले आइटम के बीच कोई स्थान न छोड़ें):

# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

नीचे दिए गए ऑडिट नियम पर विचार करें जो उपयोगकर्ता खातों के डेटाबेस में /etc/passwd को एक्सेस या संशोधित करने का कोई प्रयास करेगा।

# auditctl -w /etc/passwd -p rwa -k passwd_changes

अब, उपरोक्त फ़ाइल को संपादन के लिए खोलने का प्रयास करें और इसे निम्न प्रकार से बंद करें।

# vi /etc/passwd

सिर्फ इसलिए कि आप जानते हैं कि इस बारे में एक लॉग प्रविष्टि दर्ज की गई है, आप संभवतः पूंछ कमांड के साथ लॉग फाइल के अंतिम भागों को देखेंगे:

# tail /var/log/audit/audit.log

यदि हाल ही में कई अन्य घटनाओं को दर्ज किया गया है, तो विशिष्ट जानकारी प्राप्त करना इतना मुश्किल होगा, लेकिन ausearch का उपयोग करके, आप अपने द्वारा निर्दिष्ट कुंजी मान के साथ -k ध्वज को पास कर सकते हैं। ऑडिट नियम में /etc/passwd फ़ाइल तक पहुँचने या संशोधित करने के साथ घटनाओं से संबंधित सभी लॉग संदेशों को देखने के लिए।

यह ऑडिट नियमों के किए गए परिभाषित परिवर्तनों को भी प्रदर्शित करेगा।

# ausearch -k passwd_changes | less

अधिक जानकारी और उपयोग विकल्पों के लिए, ausearch man पेज पढ़ें:

# man ausearch

लिनक्स सिस्टम ऑडिटिंग और लॉग प्रबंधन के बारे में अधिक जानने के लिए, इन निम्नलिखित संबंधित लेखों को पढ़ें।

  1. Petiti – An Open Source Log Analysis Tool for Linux SysAdmins
  2. Monitor Server Logs in Real-Time with “Log.io” Tool on RHEL/CentOS 7/6
  3. How to Setup and Manage Log Rotation Using Logrotate in Linux
  4. lnav – Watch and Analyze Apache Logs from a Linux Terminal

इस ट्यूटोरियल में, हमने वर्णन किया कि RHEL और CentOS पर ऑडिट लॉग फ़ाइल से डेटा पुनर्प्राप्त करने के लिए ausearch का उपयोग कैसे करें। यदि आपके पास साझा करने के लिए कोई प्रश्न या विचार हैं, तो हमें तक पहुंचने के लिए टिप्पणी अनुभाग का उपयोग करें।

अपने अगले लेख में, हम बताते हैं कि आरएचईएल/सेंटो/फेडोरा में aureport का उपयोग करके ऑडिट लॉग फ़ाइलों से रिपोर्ट कैसे बनाई जाए।