2.4.3.5 Утилита aureport
Скачать документ
Окружение
- Версия ОС: 7.3
- Конфигурация ОС: Рабочая станция
- Версия ПО: audit-3.1.3-1
aureport — инструмент для генерации отчётов на основе журналов аудита.
aureport может принимать данные со стандартного ввода (stdin) до тех пор, пока на вход поступают необработанные данные журналов. Таблицы выводимых отчётов начинаются с заголовка (подписи столбцов) для облегчения понимания значений полей.
Синтаксис утилиты имеет вид:
aureport <опции>
Отчеты, генерируемые aureport, могут быть использованы как исходный материал для более детального анализа.
|
Опция |
Описание опции |
|
|
Отчет обо всех (успешных и неуспешных) попытках аутентификации. |
|
|
Отчет о сообщениях с типом AVC (решения о запрете или предоставлении доступа подсистемой SELinux). |
|
|
Отчет о запуске команд (приложений). |
|
|
Отчет об изменениях конфигурации аудита. |
|
|
Отчет о событиях, связанных с шифрованием. |
|
|
Направить в стандартный вывод для ошибок (stderr) события аудита, которые были пропущены из-за их повреждения (невозможности их интерпретации). |
|
|
Установить таймаут определения конца события. Указанное здесь значение переопределит параметр |
|
|
Отчёт о событиях. |
|
|
Задать способ экранирования вывода для обеспечения более безопасной его обработки в определённых условиях. Допустимые значения: |
|
|
Отчёт о файлах и сокетах af_unix. |
|
|
Включать в отчёт только сообщения с неуспешным результатом (failed). По умолчанию включаются сообщения с любым результатом. |
|
|
Отчёт о хостах. |
|
|
Вывести короткую справку по команде. |
|
|
Интерпретировать числовые значения в текст. Например, выводить имя пользователя вместо UID. Трансляция в текст будет производиться на базе текущих ресурсов системы, на которой запущен поиск. Это может ввести в заблуждение, например, если пользователи были переименованы или вообще отсутствуют на данной машине (но существовали на машине, с которой получены журналы). |
|
|
Использовать вместо текущих журналов указанный файл или каталог. Это может быть полезно для анализа журналов, перемещённых на другую машину, или же только их части. Длина пути ограничена 4064 байтами. |
|
|
Использовать для анализа расположение журналов, которое указано в auditd.conf. Опция необходима при запуске aureport посредством cron. |
|
|
Отчёт о событиях целостности. |
|
|
Отчёт о ключах правил аудита. |
|
|
Отчёт о событиях авторизации. |
|
|
Отчёт об изменениях учётных записей. |
|
|
Отчёт о событиях мандатного управления доступом (MAC). |
|
|
Отчёт об аномальных событиях. Эти события включают переход сетевой карты в беспорядочный (promiscuous) режим и сбои в работе программ (segfaults). |
|
|
Включать в отчёт только события, направленные с узла имя_узла. По умолчанию включаются события со всех узлов. Допустимо указывать несколько узлов. |
|
|
Не включать события с типом CONFIG_CHANGE. Это может быть полезно при создании отчёта о ключах, поскольку во многих случаях правила аудита содержат ключевые метки. Использование данной опции позволяет не включать в отчёт ложно-позитивные данные. |
|
|
Отчёт о процессах. |
|
|
Отчёт об ответах на аномальные события. |
|
|
Отчёт о системных вызовах. |
|
|
Включать в отчёт только сообщения с успешным результатом (success). По умолчанию включаются сообщения с любым результатом. |
|
|
Создать обобщённый отчёт, включающий суммарные (сгруппированные) значения всех элементов основного отчёта. Не все типы отчётов могут использоваться с данным ключом. |
|
|
Вывести время и дату первой и последней записи для каждого файла отчёта. |
|
|
Отчёт о нажатиях клавиш в терминале TTY (при задействованном модуле pam_tty_audit.so). |
|
|
Искать события с отметками времени равными или меньшими, чем указанное в параметре значение. Формат указания зависит от региональных настроек. Для указания времени используйте 24-часовой формат (например, "18:30:00"). Формат даты зависит от значения переменной окружения LC_TIME (например, "22.04.2029"). Допустимо использовать специальные слова вместо значений даты и времени:
Если значение конечная-дата не указано, то вместо него предполагается значение |
|
|
Отчёт о терминалах. |
|
|
Искать события с отметками времени равными или большими, чем указанное в параметре значение. Формат указания зависит от региональных настроек. Для указания времени используйте 24-часовой формат (например, "18:30:00"). Формат даты зависит от значения переменной окружения LC_TIME (например, "22.04.2029"). Допустимо использовать специальные слова вместо значений даты и времени:
Если значение начальная-дата не указано, то вместо него предполагается значение |
|
|
Отчёт о пользователях. |
|
|
Вывести версию aureport и выйти. |
|
|
Отчёт о событиях виртуализации. |
|
|
Отчёт об исполняемых файлах. |
Все отчёты, кроме основного итогового отчета, содержат номера событий аудита. Используя их, можно найти полные данные о событии с помощью команды:
ausearch -a <номер_события>
Функция определения времени начала загрузки создана для удобства, но имеет ограничения. Время, которое она рассчитывает, определяется как текущее время минус значение из файла /proc/uptime. Если после загрузки системы системные часы были скорректированы, например, с помощью NTP, то расчёт может оказаться некорректным. В таком случае необходимо будет явно указать время вручную. Получить результат определения времени аналогичный автоматическому можно командой:
date -d "`cut -f1 -d. /proc/uptime` seconds ago"
Дата последнего изменения: 17.11.2025
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.