[3] Przeszukiwanie logów za pomocą ausearch

6 marca 2022 Wyłączono przez Adam [zicherka] Nogły

Niektóre reguły audytu są ustawione domyślnie, takie jak logowanie do systemu, modyfikacja kont użytkowników, akcje sudo itd., logi są zapisywane w [/var/log/audit/audit.log].

[1] Dzienniki są w formacie tekstowym, więc możliwe jest bezpośrednie przeglądanie dzienników.

[root@vlsr01 ~]# tail -3 /var/log/audit/audit.log
type=SYSCALL msg=audit(1646559104.896:163): arch=c000003e syscall=44 success=yes exit=60 a0=3 a1=7ffd5de84cc0 a2=3c a3=0 items=0 ppid=17148 pid=17158 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="auditctl" exe="/usr/sbin/auditctl" subj=system_u:system_r:unconfined_service_t:s0 key=(null)
type=PROCTITLE msg=audit(1646559104.896:163): proctitle=2F7362696E2F617564697463746C002D52002F6574632F61756469742F61756469742E72756C6573
type=SERVICE_START msg=audit(1646559104.898:164): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=auditd comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

[2] Wiele dzienników jest rejestrowanych w [audit.log] i są one skomplikowane w przeszukiwaniu i odczytywaniu, więc polecenie [ausearch] jest dostarczane przez pakiet Audit do wyszukiwania określonych dzienników.

# znajdź USER_LOGIN
[root@vlsr01 ~]# ausearch --message USER_LOGIN --interpret
----
type=USER_LOGIN msg=audit(06.03.2022 09:49:28.903:97) : pid=1276 uid=root auid=root ses=1 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/sbin/sshd hostname=? addr=192.168.100.155 terminal=/dev/pts/0 res=success'
----
type=USER_LOGIN msg=audit(06.03.2022 10:00:27.198:90) : pid=1260 uid=root auid=root ses=1 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/sbin/sshd hostname=? addr=192.168.100.155 terminal=/dev/pts/0 res=success'

# znajdź akcje sudo dla użytkownika o ID 1000
[root@vlsr01 ~]# ausearch -x sudo -ua 1000
----
time->Sun Mar  6 10:43:13 2022
type=USER_AUTH msg=audit(1646559793.662:175): pid=17274 uid=1000 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="user01" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/0 res=success'
----
time->Sun Mar  6 10:43:13 2022
type=USER_ACCT msg=audit(1646559793.664:176): pid=17274 uid=1000 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:accounting grantors=pam_unix acct="user01" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/0 res=success'

# znajdź zadania zakończone błędem na [vlsr01.zicher.lab]
[root@vlsr01 ~]# ausearch --host vlsr01.zicher.lab --success no
<no matches>

# znajdź logowania użytkownika o ID 1000, który logował się w dniach 05.03.2022 – 06.03.2022
# format daty i czasu zależy od zmiennej LC_TIME
#sprawdź jej wartość
[root@vlsr01 ~]# locale -k LC_TIME
abday="nie;pon;wto;śro;czw;pią;sob"
day="niedziela;poniedziałek;wtorek;środa;czwartek;piątek;sobota"
abmon="sty;lut;mar;kwi;maj;cze;lip;sie;wrz;paź;lis;gru"
mon="stycznia;lutego;marca;kwietnia;maja;czerwca;lipca;sierpnia;września;października;listopada;grudnia"
am_pm=";"
d_t_fmt="%a, %-d %b %Y, %T"
d_fmt="%d.%m.%Y" #format daty DD.MM.YYYY
t_fmt="%T"
t_fmt_ampm=""
era=
era_year=""
era_d_fmt=""
alt_digits=
era_d_t_fmt=""
era_t_fmt=""
time-era-num-entries=0
time-era-entries="n"
week-ndays=7
week-1stday=19971130
week-1stweek=4
first_weekday=2
first_workday=2
cal_direction=1
timezone=""
date_fmt="%a, %-d %b %Y, %T %Z"
time-codeset="UTF-8"
alt_mon="styczeń;luty;marzec;kwiecień;maj;czerwiec;lipiec;sierpień;wrzesień;październik;listopad;grudzień"
ab_alt_mon="sty;lut;mar;kwi;maj;cze;lip;sie;wrz;paź;lis;gru"
[root@vlsr01 ~]# ausearch --start 05.03.2022 --end 06.03.2022 -ul 1000
----
time->Sun Mar  6 11:09:14 2022
type=LOGIN msg=audit(1646561354.135:205): pid=1717 uid=0 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 old-auid=4294967295 auid=1000 tty=(none) old-ses=4294967295 ses=3 res=1
----
time->Sun Mar  6 11:09:14 2022
type=PROCTITLE msg=audit(1646561354.135:205): proctitle=737368643A20757365723031205B707269765D
type=SYSCALL msg=audit(1646561354.135:205): arch=c000003e syscall=1 success=yes exit=4 a0=7 a1=7fff6b64c480 a2=4 a3=0 items=0 ppid=1025 pid=1717 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=3 comm="sshd" exe="/usr/sbin/sshd" subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 key=(null)