Identificarse Crear Cuenta
Cargando
  1. Home
  2. Tutoriales
  3. Linux / Unix
  4. Cómo crear informes de registros auditoría aureport en Centos 7



Cómo crear informes de registros auditoría aureport en Centos 7

En este tutorial te explicamos las diferentes alternativas de aureport para generar informes sobre los eventos registrados en los archivos de registro de auditoría Linux.

#centos

oct 04 2017 14:27
Profesional
Total de Apartados : 6

Apartados del Tutorial

1Crear informe relativo a las claves de la regla de auditoría aureport 2Crear informe sobre los intentos de autenticación en el sistema aureport 3Generar informes asociados a los inicios de sesión aureport 4Generar informe de eventos fallidos en el sistema aureport 5Generar un informe para un período de tiempo determinado aureport 6Generar informes usando un archivo de registro diferente aureport

Un constante monitoreo de nuestros servidores nos garantiza la integridad y funcionalidad de estos en todo tiempo, en especial cuando se trata de servidores en ambientes productivos. El realizar de forma periódica auditorias de seguridad al sistema nos garantiza estar al día y un paso adelante ante las posibles amenazas y vulnerabilidades que tenga el sistema.

 

Las auditorias deben tomarse como una tarea frecuente dentro del área IT para así prevenir en el futuro acciones mucho más radicales que afecten roles, servicios o elementos de los usuarios.

 

Cómo auditar Linux con Auditd Tool y Ausearch
Cómo auditar Linux con Auditd Tool y Ausearch
En este tutorial te explicamos paso a paso cómo auditar Linux con Auditd Tool y Ausearch para mantener los mejores niveles de control.

 

Ahora, Solvetic indicará como podemos generar informes de auditoría los cuales son vitales para reuniones de gestión, soportes o bitácoras de los eventos acontecidos en un servidor, en este caso hablamos de CentOS 7.

 

Qué es aureport
La utilidad aureport ha sido diseñada para permitirnos generar informes concretos y vitales sobre los eventos registrados en los archivos de registro de auditoría.

 

De forma predeterminada, se consultan todos los archivos audit.log alojados en el directorio /var/log/audit/ para crear el informe. En el informe será posible especificar un archivo diferente para ejecutar el informe en contra usando el comando aureport -if nombre_archivo.

 

Aureport nos ofrece diversas alternativas para su uso y cada una nos dará un resultado diferente, estas opciones son las siguientes.

 

 


1. Crear informe relativo a las claves de la regla de auditoría aureport


Si usamos el parámetro -k, aureport producirá un informe sobre todas las claves definidas en las reglas de auditoría.

 

Su ejecución es:

aureport -k
Su resultado es el siguiente:

 

 

crear-informes-de-registros-auditoría-aureport-en-Centos-7-1.png

 

Allí podemos ver información detallada indicando fecha, hora y evento acontecido. Es posible habilitar la interpretación de entidades numéricas en texto (como convertir UID en nombre de cuenta) mediante la opción -i:

aureport -k -i

2. Crear informe sobre los intentos de autenticación en el sistema aureport


Es posible que por razones de seguridad y control necesitemos un reporte sobre todos los eventos relacionados con los intentos de autenticación de todos los usuarios en CentOS 7, para ello usaremos el parámetro -au.
aureport -au
aureport -au -i
El resultado será el siguiente:

 

 

crear-informes-de-registros-auditoría-aureport-en-Centos-7-2.png

 


3. Generar informes asociados a los inicios de sesión aureport


Gracias al parámetro -l será posible indicarle a aureport que genere un informe de todos los inicios de sesión en CentOS 7.
Ejecutaremos lo siguiente:
aureport -l
El resultado obtenido será el siguiente:

 

 

crear-informes-de-registros-auditoría-aureport-en-Centos-7-3.png

 

Podemos ver en detalle fecha y hora de inicios de sesión.

 


4. Generar informe de eventos fallidos en el sistema aureport


Si deseamos obtener un reporte sobre los eventos con error en CentOS 7, lo cual es práctico para saber en detalle que evento y cuando fue generado, podemos ejecutar lo siguiente:
aureport –failed

informes-de-registros-auditoría-aureport-en-Centos-7-4.png

 

Podemos ver las categorías de eventos con la respectiva cantidad.

 


5. Generar un informe para un período de tiempo determinado aureport


Con aureport es posible generar informes durante un período de tiempo específico; El parámetro -ts define la fecha y hora de inicio y el valor -te establece una fecha y hora de finalización.

 

Adicional es posible usar palabras como ahora, recientes, de hoy, de ayer, de esta semana, de semana, de este mes, de este año en lugar de los formatos de tiempo real.

 

Podemos ejecutar líneas como:

aureport -ts 09/20/2017 08:00:00 -te now --summary -i
aureport -ts today -te now --summary -i

crear-informes-de-registros-auditoría-aureport-en-Centos-7-5.png

 


6. Generar informes usando un archivo de registro diferente aureport


Es posible crear un informe haciendo uso de un archivo distinto a los archivos de registro predeterminados en el directorio /var/log/audit, para ello debemos usar el indicador -if para referir el archivo:
aureport -l -if /var/log/solvetic/hosts/node3.log
Otros de los parámetros útiles a usar con aureport son:

 

Informa sobre intentos de autenticación
-au, --auth

Informa sobre los mensajes de avc
-a, --avc

 

Informa sobre cambios de configuración
-c, --config

 

Informa sobre eventos de criptografía
-cr, --crypto

 

Informa sobre eventos
-e, --event

Informa sobre archivos
-f, --file

Seleccione los eventos fallidos para procesarlos en los informes
--failed

 

Informa sobre los hosts
-h, --host

 

Imprime un resumen del comando a ejecutar
--help

 

Interpreta entidades numéricas en el texto
Por ejemplo, uid se convierte en nombre de cuenta. La conversión se realiza utilizando los recursos actuales de la máquina donde se está ejecutando la búsqueda
-i, --interpret
.

 

Hace uso del archivo indicado
Con esto se ayuda al análisis cuando los registros se han movido a otra máquina o sólo parte de un registro se ha guardado.
-if, --input file

 

Usa la ubicación del archivo de registro de auditd.conf como entrada para el análisis
Esto es necesario si está utilizando aureport de un trabajo cron.
--input-logs

 

Informa sobre las teclas de reglas de auditoría
-k, --key

 

Informa sobre los inicios de sesión
-l, --login

 

Informa sobre las modificaciones de la cuenta
-m, --mods

 

Informa sobre eventos de control de acceso obligatorio (MAC)
-ma, --mac

 

Informa sobre los eventos de anomalía
Estos eventos incluyen NIC pasando a modo promiscuo y segfaulting programas.
-n, --anomaly

 

Permite seleccionar los eventos que se originan desde la cadena de nombres de nodos para procesarlos en los informes
El valor predeterminado es incluir todos los nodos. Se permiten múltiples nodos.
--node node-name

 

Informa sobre los procesos actuales
-p, --pid

 

Informa sobre las respuestas a los eventos de anomalía
-r, --response

 

Informa sobre syscalls
-s, --syscall

 

Sólo selecciona los eventos con éxito para su procesamiento en los informes
El valor predeterminado es satisfactorio.
--success

 

Ejecuta un informe resumido que proporciona un total de los elementos del informe principal
--resume

 

Esta opción despliega un informe de las horas de inicio y fin de cada registro.
-t, --log

 

Busca eventos con marcas de tiempo iguales o anteriores al tiempo de finalización dado.
El formato de la hora de fin depende de la configuración regional. Si se omite la fecha, se asume hoy. Si se omite el tiempo, ahora se supone. Podemos usar el reloj de 24 horas en lugar de AM o PM para especificar el tiempo. Recordemos que es posible usar palabras como: ahora, reciente, hoy, ayer, esta semana, semana, este mes, este año. Hoy significa empezar ahora. Reciente es hace 10 minutos. Ayer es 1 segundo después de la medianoche del día anterior. Esta semana significa comenzar 1 segundo después de la medianoche del día 0 de la semana determinado por su localidad (ver hora local). Este mes significa 1 segundo después de la medianoche del día 1 del mes. Este año significa el 1 segundo después de la medianoche del primer día del primer mes.
-te, --end [end-date] [end-time]

 

Informa sobre terminales
-tm, --terminal

Busca eventos con marcas de tiempo iguales o posteriores al tiempo de finalización dado
El formato de la hora de fin depende de la configuración regional. Si se omite la fecha, se asume hoy. Si se omite el tiempo, se asume la medianoche. Podremos el reloj de 24 horas en lugar de AM o PM para especificar el tiempo.
-ts, --start [fecha de inicio] [inicio]

 

Informa sobre los usuarios
-u, --user

 

Imprimir la versión y sale de la utilidad
-v, --version

 

Informa sobre ejecutables
-x, --executable

 

 

crear-informes-de-registros-auditoría-aureport-en-Centos-7-6.png

 

Finalmente, para obtener ayuda general de la utilidad podemos ejecutar man aureport. De esta forma podemos ver como esta utilidad nos permite generar informes detallados sobre todos los temas de auditoria en ambientes Linux, en este caso CentOS 7, y así llevar una administración mucho más completa sobre los eventos del servidor.

 

Monitorear actividad de usuario con ACCT o PSACCT
Monitorear actividad de usuario con ACCT o PSACCT
Con este tutorial aprenderás cómo monitorear la actividad de un usuario usando las herramientas ACCT o PSACCT.


¿Te ayudó este Tutorial?


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

Apartados del Tutorial
X
Identificarse

Formulario para iniciar sesión, si necesitas una cuenta Regístrate!

  He olvidado mi contraseña
IDENTIFICARSE
  Realizar Pregunta
¿Sigues sin solución a tu pregunta? Realiza una nueva: Crear Pregunta