Утилита aureport

Опция

Описание опции

-au, --auth

Отчет обо всех (успешных и неуспешных) попытках аутентификации.

-a, --avc

Отчет о сообщениях с типом AVC (решения о запрете или предоставлении доступа подсистемой SELinux).

--comm

Отчет о запуске команд (приложений).

-c, --config

Отчет об изменениях конфигурации аудита.

-cr, --crypto

Отчет о событиях, связанных с шифрованием.

--debug

Направить в стандартный вывод для ошибок (stderr) события аудита, которые были пропущены из-за их повреждения (невозможности их интерпретации).

--eoe-timeout <секунды>

Установить таймаут определения конца события. Указанное здесь значение переопределит параметр end_of_event_timeout указанный в /etc/auditd/auditd.conf

-e, --event

Отчёт о событиях.

--escape <опция>

Задать способ экранирования вывода для обеспечения более безопасной его обработки в определённых условиях. Допустимые значения: raw, tty, shell, shell_quote. Каждый последующий способ включает все символы предыдущего режима и добавляет дополнительное экранирование. То есть, shell включает все символы, экранированные в режиме tty, и добавляет еще. Значение по умолчанию: tty.

-f, --file

Отчёт о файлах и сокетах af_unix.

--failed

Включать в отчёт только сообщения с неуспешным результатом (failed). По умолчанию включаются сообщения с любым результатом.

-h, --host

Отчёт о хостах.

--help

Вывести короткую справку по команде.

-i, --interpret

Интерпретировать числовые значения в текст. Например, выводить имя пользователя вместо UID. Трансляция в текст будет производиться на базе текущих ресурсов системы, на которой запущен поиск. Это может ввести в заблуждение, например, если пользователи были переименованы или вообще отсутствуют на данной машине (но существовали на машине, с которой получены журналы).

-if, --input <файл> | <каталог>

Использовать вместо текущих журналов указанный файл или каталог. Это может быть полезно для анализа журналов, перемещённых на другую машину, или же только их части. Длина пути ограничена 4064 байтами.

--input-logs

Использовать для анализа расположение журналов, которое указано в auditd.conf. Опция необходима при запуске aureport посредством cron.

--integrity

Отчёт о событиях целостности.

-k, --key

Отчёт о ключах правил аудита.

-l, --login

Отчёт о событиях авторизации.

-m, --mods

Отчёт об изменениях учётных записей.

-ma, --mac

Отчёт о событиях мандатного управления доступом (MAC).

-n, --anomaly

Отчёт об аномальных событиях. Эти события включают переход сетевой карты в беспорядочный (promiscuous) режим и сбои в работе программ (segfaults).

--node <имя_узла>

Включать в отчёт только события, направленные с узла имя_узла. По умолчанию включаются события со всех узлов. Допустимо указывать несколько узлов.

-nc, --no-config

Не включать события с типом CONFIG_CHANGE. Это может быть полезно при создании отчёта о ключах, поскольку во многих случаях правила аудита содержат ключевые метки. Использование данной опции позволяет не включать в отчёт ложно-позитивные данные.

-p, --pid

Отчёт о процессах.

-r, --response

Отчёт об ответах на аномальные события.

-s, --syscall

Отчёт о системных вызовах.

--success

Включать в отчёт только сообщения с успешным результатом (success). По умолчанию включаются сообщения с любым результатом.

--summary

Создать обобщённый отчёт, включающий суммарные (сгруппированные) значения всех элементов основного отчёта. Не все типы отчётов могут использоваться с данным ключом.

-t, --log

Вывести время и дату первой и последней записи для каждого файла отчёта.

--tty

Отчёт о нажатиях клавиш в терминале TTY (при задействованном модуле pam_tty_audit.so).

-te, --end [конечная-дата] [конечное-время]

Искать события с отметками времени равными или меньшими, чем указанное в параметре значение. Формат указания зависит от региональных настроек. Для указания времени используйте 24-часовой формат (например, "18:30:00"). Формат даты зависит от значения переменной окружения LC_TIME (например, "22.04.2029").

Допустимо использовать специальные слова вместо значений даты и времени:

• now — текущее время, данный момент;

• recent — 10 минут назад;

• boot — момент времени начала последней загрузки системы;

• today — текущее время, данный момент;

• yesterday — первая секунда после полуночи предыдущего дня;

• this-week — первая секунда после полуночи первого дня текущей недели, определённого в зависимости от региональных настроек (функция localtime);

• week-ago — первая секунда после полуночи 7 дней назад;

• this-month — первая секунда после полуночи первого дня текущего месяца;

• this-year — первая секунда после полуночи первого дня первого месяца текущего года.

Если значение конечная-дата не указано, то вместо него предполагается значение today. Если значение конечное-время не указано, то вместо него предполагается значение now.

-tm, --terminal

Отчёт о терминалах.

-ts, --start [начальная-дата] [начальное-время]

Искать события с отметками времени равными или большими, чем указанное в параметре значение. Формат указания зависит от региональных настроек. Для указания времени используйте 24-часовой формат (например, "18:30:00"). Формат даты зависит от значения переменной окружения LC_TIME (например, "22.04.2029").

Допустимо использовать специальные слова вместо значений даты и времени:

• now — текущее время, данный момент;

• recent — 10 минут назад;

• boot — момент времени начала последней загрузки системы;

• today — первая секунда после полуночи текущего дня;

• yesterday — первая секунда после полуночи предыдущего дня;

• this-week — первая секунда после полуночи первого дня текущей недели, определённого в зависимости от региональных настроек (функция localtime);

• week-ago — первая секунда после полуночи 7 дней назад;

• this-month — первая секунда после полуночи первого дня текущего месяца;

• this-year — первая секунда после полуночи первого дня первого месяца текущего года.

Если значение начальная-дата не указано, то вместо него предполагается значение today. Если значение начальное-время не указано, то вместо него предполагается полночь.

-u, --user

Отчёт о пользователях.

-v, --version

Вывести версию aureport и выйти.

--virt

Отчёт о событиях виртуализации.

-x, --executable

Отчёт об исполняемых файлах.