aureport
генерирует итоговые отчёты на основе логов службы аудита, также может принимать данные со стандартного ввода (stdin) до тех пор, пока на входе будут необработанные данные логов. Все отчёты, кроме основного итогового отчёта, содержат номера событий аудита. Используя их, можно получить полные данные о событии с помощью команды ausearch -a <номер события>
. В случае, если в отчёте слишком много данных, можно задать время начала и время окончания для уточнения временного промежутка.
aureport
, могут быть использованы как исходный материал для получения развернутых отчётов.
aureport [опции]
Таблица 73.6. Опции команды aureport
Опция
|
Описание
|
---|---|
-au, --auth
|
Отчёт о попытках аутентификации.
|
-a, --avc
|
Отчёт о avc сообщениях.
|
--comm
|
Отчёт о выполнении команд.
|
-c, --config
|
Отчёт об изменениях конфигурации.
|
-cr, --crypto
|
Отчёт о событиях, связанных с кодированием.
|
-e, --event
|
Отчёт о событиях.
|
--escape <опция>
|
Экранировать вывод. Возможные значения: raw, tty, shell и shell_quote. Каждый режим включает в себя символы предыдущего режима и экранирует больше символов. То есть shell включает все символы, экранируемые tty, и добавляет новые. Значение по умолчанию — tty.
|
-f, --file
|
Отчёт о файлах и сокетах.
|
--failed
|
Для обработки в отчётах выбирать только неудачные события. По умолчанию показываются как удачные, так и неудачные события.
|
-h, --host
|
Отчёт о хостах.
|
-i, --interpret
|
Транслировать числовые значения в текстовые. Например, идентификатор пользователя будет транслирован в имя пользователя. Трансляция выполняется с использованием данных с той машины, где запущена команда
aureport .
|
-if, --input <файл>|<каталог>
|
Использовать указанный файл или каталог вместо логов аудита. Это может быть полезно при анализе логов с другой машины или при анализе частично сохраненных логов.
|
--input-logs
|
Использовать местоположение файла журнала из auditd.conf как исходные данные для анализа. Применяется при использовании команды
aureport в задании cron.
|
--integrity
|
Отчёт о событиях целостности.
|
-k , --key
|
Отчёт о ключевых словах в правилах.
|
-l, --login
|
Отчёт о попытках входа в систему.
|
-m, --mods
|
Отчёт об изменениях пользовательских учетных записей.
|
-n, --anomaly
|
Отчёт об аномальных событиях. Эти события включают переход сетевой карты в беспорядочный режим и ошибки сегментации.
|
--node <имя узла>
|
Отобразить в отчёте только события со строкой <имя узла>. По умолчанию включены все узлы. Допускается перечисление нескольких узлов.
|
-nc , --no-config
|
Не включать событие CONFIG_CHANGE. Это особенно полезно для ключевого отчёта, поскольку правила аудита во многих случаях имеют ключевые метки. Использование этой опции избавляет от ложных срабатываний.
|
-p, --pid
|
Отчёт о процессах.
|
-r, --response
|
Отчёт о реакциях на аномальные события.
|
-s, --syscall
|
Отчёты о системных вызовах.
|
--success
|
Для обработки в отчётах выбирать только удачные события. По умолчанию показываются как удачные, так и неудачные события.
|
--summary
|
Генерировать итоговый отчёт, который дает информацию только о количестве элементов в том или ином отчёте. Такой режим есть не у всех отчётов.
|
-t, --log
|
Генерация отчётов о временных рамках каждого отчёта.
|
--tty
|
Отчёты о нажатых клавишах.
|
-te, --end <дата> <время>
|
Искать события, которые произошли раньше (или во время) указанной временной точки. Формат даты и времени зависит от региональных настроек. В случае если дата не указана, то подразумевается текущий день (today). В случае если не указано время, то подразумевается текущий момент (now).
|
-tm, --terminal <терминал>
|
Отчёт о терминалах.
|
--ts, --start <дата> <время>
|
Искать события, которые произошли после (или во время) указанной временной точки.
|
-u, --user
|
Отчёт о пользователях.
|
-v, --verbose
|
Вывести версию программы и выйти.
|
-x, --executable
|
Отчёт об исполняемых объектах.
|
now
— сейчас;
recent
— десять минут назад;
boot
— время за секунду до того, когда система загружалась в последний раз;
today
— первая секунда после полуночи текущего дня;
yesterday
— первая секунда после полуночи предыдущего дня;
this-week
— первая секунда после полуночи первого дня текущей недели, первый день недели определяется из региональных настроек;
week-ago
— первая секунда после полуночи ровно 7 дней назад;
this-month
— первая секунда после полуночи первого числа текущего месяца;
this-year
— первая секунда после полуночи первого числа первого месяца текущего года.