[3] Przeszukiwanie logów za pomocą ausearch
6 marca 2022Niektóre reguły audytu są ustawione domyślnie, takie jak logowanie do systemu, modyfikacja kont użytkowników, akcje sudo itd., logi są zapisywane w [/var/log/audit/audit.log].
[1] Dzienniki są w formacie tekstowym, więc możliwe jest bezpośrednie przeglądanie dzienników.
[root@vlsr01 ~]# tail -3 /var/log/audit/audit.log type=SYSCALL msg=audit(1646559104.896:163): arch=c000003e syscall=44 success=yes exit=60 a0=3 a1=7ffd5de84cc0 a2=3c a3=0 items=0 ppid=17148 pid=17158 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="auditctl" exe="/usr/sbin/auditctl" subj=system_u:system_r:unconfined_service_t:s0 key=(null) type=PROCTITLE msg=audit(1646559104.896:163): proctitle=2F7362696E2F617564697463746C002D52002F6574632F61756469742F61756469742E72756C6573 type=SERVICE_START msg=audit(1646559104.898:164): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=auditd comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
[2] Wiele dzienników jest rejestrowanych w [audit.log] i są one skomplikowane w przeszukiwaniu i odczytywaniu, więc polecenie [ausearch] jest dostarczane przez pakiet Audit do wyszukiwania określonych dzienników.
# znajdź USER_LOGIN [root@vlsr01 ~]# ausearch --message USER_LOGIN --interpret ---- type=USER_LOGIN msg=audit(06.03.2022 09:49:28.903:97) : pid=1276 uid=root auid=root ses=1 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/sbin/sshd hostname=? addr=192.168.100.155 terminal=/dev/pts/0 res=success' ---- type=USER_LOGIN msg=audit(06.03.2022 10:00:27.198:90) : pid=1260 uid=root auid=root ses=1 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/sbin/sshd hostname=? addr=192.168.100.155 terminal=/dev/pts/0 res=success' # znajdź akcje sudo dla użytkownika o ID 1000 [root@vlsr01 ~]# ausearch -x sudo -ua 1000 ---- time->Sun Mar 6 10:43:13 2022 type=USER_AUTH msg=audit(1646559793.662:175): pid=17274 uid=1000 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="user01" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/0 res=success' ---- time->Sun Mar 6 10:43:13 2022 type=USER_ACCT msg=audit(1646559793.664:176): pid=17274 uid=1000 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:accounting grantors=pam_unix acct="user01" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/0 res=success' # znajdź zadania zakończone błędem na [vlsr01.zicher.lab] [root@vlsr01 ~]# ausearch --host vlsr01.zicher.lab --success no <no matches> # znajdź logowania użytkownika o ID 1000, który logował się w dniach 05.03.2022 – 06.03.2022 # format daty i czasu zależy od zmiennej LC_TIME #sprawdź jej wartość [root@vlsr01 ~]# locale -k LC_TIME abday="nie;pon;wto;śro;czw;pią;sob" day="niedziela;poniedziałek;wtorek;środa;czwartek;piątek;sobota" abmon="sty;lut;mar;kwi;maj;cze;lip;sie;wrz;paź;lis;gru" mon="stycznia;lutego;marca;kwietnia;maja;czerwca;lipca;sierpnia;września;października;listopada;grudnia" am_pm=";" d_t_fmt="%a, %-d %b %Y, %T" d_fmt="%d.%m.%Y" #format daty DD.MM.YYYY t_fmt="%T" t_fmt_ampm="" era= era_year="" era_d_fmt="" alt_digits= era_d_t_fmt="" era_t_fmt="" time-era-num-entries=0 time-era-entries="n" week-ndays=7 week-1stday=19971130 week-1stweek=4 first_weekday=2 first_workday=2 cal_direction=1 timezone="" date_fmt="%a, %-d %b %Y, %T %Z" time-codeset="UTF-8" alt_mon="styczeń;luty;marzec;kwiecień;maj;czerwiec;lipiec;sierpień;wrzesień;październik;listopad;grudzień" ab_alt_mon="sty;lut;mar;kwi;maj;cze;lip;sie;wrz;paź;lis;gru" [root@vlsr01 ~]# ausearch --start 05.03.2022 --end 06.03.2022 -ul 1000 ---- time->Sun Mar 6 11:09:14 2022 type=LOGIN msg=audit(1646561354.135:205): pid=1717 uid=0 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 old-auid=4294967295 auid=1000 tty=(none) old-ses=4294967295 ses=3 res=1 ---- time->Sun Mar 6 11:09:14 2022 type=PROCTITLE msg=audit(1646561354.135:205): proctitle=737368643A20757365723031205B707269765D type=SYSCALL msg=audit(1646561354.135:205): arch=c000003e syscall=1 success=yes exit=4 a0=7 a1=7fff6b64c480 a2=4 a3=0 items=0 ppid=1025 pid=1717 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=3 comm="sshd" exe="/usr/sbin/sshd" subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 key=(null)