ausearch、aureportでauditdのサマリレポートを作成する方法についてです。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
1)概要
・aureportというツールでauditdが取得した監査ログのサマリーレポートを生成できます。
・ausearchで調べたい項目をキーとして指定して、膨大な量のログの中から抽出してからaureportでレポートを抽出する事も出来ます。
・cronジョブに登録して定期的に実行出来ます。
2)ausearchの使用例
例えば監査ルール(/etc/audit/audit.rules)定義で、下記のように”identity”をキーとして指定している場合、
-w /etc/group -p wa -k identity
ログファイル(/var/log/audit/audit.log)には、下記のように記録されます。
type=CONFIG_CHANGE msg=audit(1391652196.880:8): auid=501 ses=17798 op=”add rule” key=”identity” list=4 res=1
type=SYSCALL msg=audit(1391652211.097:9): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=196b0f0 a2=1b4 a3=7fff670c5020 items=1 ppid=7262 pid=7615 auid=501 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=17798 comm=”chmod” exe=”/bin/chmod” key=”identity”
膨大の量のログ記録のなかからキーが”identity”の監査ログを抽出したい場合は、下記のようにausearchを実行します。
# ausearch --key identity ---- time->Thu Feb 6 11:03:16 2014 type=CONFIG_CHANGE msg=audit(1391652196.880:8): auid=501 ses=17798 op="add rule" key="identity" list=4 res=1 ---- time->Thu Feb 6 11:03:31 2014 type=PATH msg=audit(1391652211.097:9): item=0 name="passwd" inode=915545 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 type=CWD msg=audit(1391652211.097:9): cwd="/etc" type=SYSCALL msg=audit(1391652211.097:9): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=196b0f0 a2=1b4 a3=7fff670c5020 items=1 ppid=7262 pid=7615 auid=501 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=17798 comm="chmod" exe="/bin/chmod" key="identity" :
※デフォルトでは、上記のように”—-“で区切り日時を出力してフォーマットされています。
ログ出力を整形しないで生データのまま出力する場合は”–row”オプションを使用します。
aureportのパイプで連携する場合は、”–row”オプションを使用します。
3)aureportの使用方法
下記オプションなどを適宜指定します。
-l
ログインに関するレポート
-i
uidの数値からアカウント名など数値からテキスト名に変換する
-ts [start-date] [start-time]
レポート対象のログの開始タイムスタンプ
-te [stop-date] [stpo-time]
レポート対象のログの終了タイムスタンプ
-k, –key
キーを指定した監査ログをレポート
–summary
メインレポートの要素のトータルを提供するサマリーレポート
-f
ファイルについてレポート
-x
実行(executables)についてレポート
-u, –user
ユーザーについてレポート
-n, –anomaly
アノーマリーイベントについてレポート
4)aureport使用例
・全ユーザーのログインに関するデイリーレポート
# aureport -l -i -ts yesterday -te today
・すべての監査アクティビティをキーごとのサマリでレポート
# aureport –key –summary
・ファイルに対する権限違反が目立ってきた場合などに、ファイル権限に関する監査ログのみレビュー。監査ルール定義で指定したキー値を指定して必要な情報のみ出力
# ausearch –key キー値 –raw | aureport -f –summary
・どのようなファイルが実行されているかレビュー。監査ルール定義で指定したキー値を指定して必要な情報のみ出力
# ausearch –key キー値 –raw | aureport -x –summary
・”/etc/shadow”ファイルに対してアクセス違反があって、どのユーザーによるものか調べる場合
# ausearch –key キー値 –file /etc/shadow –raw | aureport –user –summary -i
・通常行われない操作(プロミスキャストモードにデバイスを変更、プロセスの異常終了、ログイン失敗が閾値に到達など)をチェックしたい場合
# aureport –anomaly 関連記事の目次
-
OpenSSH
- レンタルサーバー(VPS)にSSHでログイン
- VPS(レンタル)サーバー上のssh初期設定確認
- SSH接続の仕組み
- OpenSSHの設定ファイル
- OpenSSHの設定をよりセキュアに
- CentOS Stream9のSSH設定(OpenSSH)
- WinSCPを使ってファイル転送
ネットワーク、ポート番号
rpmパッケージ、サービス
パーミッション
ログイン、認証、パスワード、アカウント制御
auditdでシステム監査
ツール
トラブルシューティング
- auditdを使ってシステム監査
- auditdのログ容量の設定
- auditd監査ルールの設定方法
- auditdで時間設定変更操作を監査する
- auditdでユーザー・グループ設定ファイル変更操作を監査する
- auditdでネットワーク関連の設定変更を監査する
- auditdでログイン記録のログファイルの変更を監査する
- auditdでファイル所有者や権限の変更に関するイベントを監査する
- auditdでsetuid、setgidプログラムの実行を監査する
- auditdでマウント操作を監査する
- auditdでファイル削除操作を監査する
- auditdでsudo設定ファイルに対する操作を監査する
- auditdでカーネルモジュールのロード、アンロードを監査する
- マシン再起動後にauditdの設定変更を有効にする設定
- ausearch、aureportで監査ログのサマリレポートを作成