Како се користи систем ревизије у ЦентОС -у 7

Како се користи систем ревизије у ЦентОС -у 7

Када наше улоге и функције укључују управљање свим елементима корпоративне инфраструктуре, било на нивоу мреже или система, морамо имати корисне алате за праћење, праћење догађаја и осигуравање оптималних перформанси свих његових компоненти.

Данас ћемо прегледати како имплементирати и користити систем ревизије Линука, алат за многе непознате. Знамо да постоје помоћни програми трећих страна који нам омогућавају управљање различитим параметрима у систему, али овај услужни програм превазилази оно што нам је потребно и размотрићемо зашто.

За овај водич ћемо анализирати услужни програм у окружењу ЦентОС 7.

1. Познавати систем ревизије Линука


Помоћу система ревизије можемо бити ажурирани у погледу основних безбедносних информација у нашем систему.

Систем ревизије нам пружа извештаје о свим догађајима који се дешавају у систему на основу унапред дефинисаних правила; Важно је појаснити да са системом ревизије не додајемо сигурност ЦентОС -у 7, али нам омогућава да анализирамо недостатке које систем има да предузме корективне мере.

Информације способне за анализу

  • Промене базе података, на пример промене путање / етц / пассвд.
  • Систем ревизије обезбеђује датум, време и врсту догађаја.
  • Покушаји увоза или извоза информација унутар система.
  • Механизми аутентификације корисника.
  • Све измене измена ревизије и покушаји приступа ревизорским записима, између осталог.

2. Проверите инсталацију система ревизије


Унутар система ревизије имамо две важне шеме које треба узети у обзир:

1. Језгро система ревизије узима све догађаје које је корисник обрадио и шаље те информације демону ревизије.

2. Демон ревизије узима ове информације и ствара записе.

Систем ревизије управља са два пакета: ревизија И аудит-либсОни су подразумевано инсталирани у ЦентОС 7, њихову инсталацију можемо проверити помоћу следеће команде: 

 судо иум лист аудит-либс

У случају да их немамо, можемо инсталирати систем ревизије помоћу следеће наредбе: 

 судо иум ревизија инсталирања
Након што су инсталирани, морамо видети следећи текст: 
 Инсталирани пакети аудит.к86_64 аудит-либс.к86_64
Пређимо на конфигурацију система.

3. Конфигуришите систем ревизије у ЦентОС 7


Када потврдимо да имамо потребне пакете, променићемо конфигурацију датотеке аудитд.цонф и управо у овој датотеци имамо могућност да конфигуришемо регистре, догађаје и друго. За приступ овој датотеци користићемо следећу команду: 
 судо нано /етц/аудит/аудитд.цонф
Приказаће се следећи прозор:

Најважнији параметри

  • нум_логс: Омогућава дефинисање броја евиденција које се записују у опрему.
  • мак_лог_филе: Помоћу овог параметра можемо дефинирати максималну величину дневника.
  • спаце_лефт: Можемо поставити количину слободног простора на диску.
  • диск_фулл_ацтион: Можемо дефинисати одређену радњу када је диск пун.

Као што видимо, можемо подесити различите параметре. На пример, ако желимо да број дневника буде 12, једноставно бришемо подразумевану вредност (5) и додајемо жељену (12). Ако желимо да променимо величину дневника на 20, једноставно мењамо подразумевану вредност (6) на потребну (20).

Спремамо измене помоћу комбинације Цтрл + О. и излазимо из уређивача помоћу комбинације Цтрл + Кс. Када су измене обрађене, морамо поново покренути услугу ревизије помоћу наредбе: 

 судо сервице аудитд рестарт
БелешкаАко желимо да уредимо параметре правила, морамо да уредимо датотеку аудит.рулес помоћу следеће команде: 
 /етц/аудит/рулес.д/аудит.рулес

4. Упознајте евиденције системске ревизије у ЦентОС -у 7


Систем ревизије подразумевано складишти све догађаје који су се догодили у ЦентОС -у на путањи /вар/лог/аудит/аудит.лог и ове датотеке садрже много информација и кода који многима од нас можда неће бити тако лак за разумевање, али Солветиц води рачуна о томе да мало сажме ове датотеке.

Да бисмо показали како систем ревизије функционише, створили смо правило које се зове ссхцонфигцханге и које се може креирати помоћу следеће команде: 

 судо аудитцтл -в / етц / ссх / ссхд_цонфиг -п рвка -к ссхцонфигцханге
Да бисмо видели правило, користимо следећу синтаксу: 
 судо цат / етц / ссх / ссхд_цонфиг

Сада ћемо видети дневник који је направио алат за ревизију система уношењем следећег: 

 судо нано /вар/лог/аудит/аудит.лог

Ослањаћемо се на три (3) витална записа:

  • СИСЦАЛЛ
  • ЦВД
  • ПАТХ

Ове датотеке су састављене на следећи начин:

  • Кључна реч: Односи се на назив процеса (ПАТХ, ЦВД, итд.)
  • Временска ознака: Односи се на датум и време (1469708505.235)
  • Иди: Састоји се од ИД -а предметног догађаја (153)

СИСЦАЛЛ догађај
СИСЦАЛЛ се односи на поруку коју генерише позив језгра из система за ревизију, поље поруке = ревизија (1469708505.235:153):

У временска ознака и поље ИД видимо да ова три записа имају исту вредност (1469708505.235: 153) што указује да су ова три записа ускладиштена са истим догађајем ревизије.

Тхе лучно поље односи се на архитектуру машине, у овом случају 40000003 означава да је то и386, да је вредност ц000003е односила би се на к86_64 машину.

Тхе Сисцалл поље помиње врсту позива који је послат систему. Вредност може да варира, у овом случају је 5. Можемо користити команду судо аусисцалл 5 да видимо статус услуге (Отворено).

Постоји више од 300 вредности, ако желимо да видимо шта вредности уопште значе, можемо користити наредбу: 

 судо аусисцалл -думп
Видећемо све вредности и њихово значење:

Тхе Поље успеха Каже нам да ли је позив на догађај био успешан или не, да или не. Можемо лоцирати догађај СИСЦАЛЛ и померити се улево да бисмо видели остале извештаје.

Тхе уид поље односи се на корисника који је покренуо услугу ревизије, у овом случају то је уид = 0.

Тхе цомм фиелд односи се на команду која је коришћена за приказивање поруке, па видимо да се појављује као цомм = "цат".

Тхе еке фиелд Она означава путању до команде која је генерисала догађај ревизије, у овом примеру можемо видети да је еке = " / уср / бин / цат".

ЦВД догађај
У ЦВД догађају можемо приметити да нема истих информација као у СИСЦАЛЛ-у, овде имамо директоријум који се користи за чување догађаја, ЦВД-Цуррент Воркинг Дирецтори, па видимо вредност цвд = ” / хоме / Солтициц”.

ПАТХ догађај
У последњем догађају, ПАТХ, видимо да је поље са именом који се односи на датотеку или директоријум који је коришћен за креирање ревизије, у овом случају видимо следеће: наме = " / етц / ссх / ссхд_цонфиг".

5. Претражите догађаје ревизије за одређене догађаје


Један од најзанимљивијих начина на који можемо тражити догађај у ЦентОС 7 је употреба синтаксе: 
 судо аусеарцх -м Име_догађаја --почни данас -и
Ова команда нам омогућава да филтрирамо одређени догађај и не морамо да претражујемо целу датотеку догађаја јер је опсежна. У овом случају ћемо тражити све догађаје повезане с пријавом, па ћемо унијети сљедеће: 
 судо аусеарцх -м ПРИЈАВА --почните данас -и
Добијени резултат ће бити следећи:

Такође је могуће филтрирати претрагу према ИД -у догађаја. За то ћемо користити следећу синтаксу: 

 судо аусеарцх -а_Догађај_
Затим ћемо видети како се генеришу извештаји.

6. Генеришите ревизорске извештаје


Један од начина на који можемо боље управљати догађајима је са детаљним извештајем о томе шта се дешава у ЦентОС 7, а са системом ревизије можемо генерисати извештаје који су једноставни и јасни за разумевање како би нам помогли у управљању. За ово ћемо користити наредбу: 
 судо аурепорт -к -сажетак
И видећемо добијени резултат:

Прва колона коју видимо означава колико је пута команда извршена, а друга колона показује која је команда извршена. На исти начин можемо генерисати извештај са неуспелим догађајима помоћу наредбе: 

 судо аурепорт -неуспешно

Ако желимо да генеришемо извештај са корисничким именима и системским позивима, користићемо наредбу: 

 судо аурепорт -ф -и

7. Како појединачно анализирати процесе


Могуће је да понекад морамо анализирати процесе појединачно, а не цијели директориј, за то ћемо користити аутраце, овај алат нам омогућава да надгледамо системске позиве према одређеном процесу. Аутраце резултати се чувају на путањи: 
 /вар/лог/аудит/аудит.лог
На пример анализираћемо путању / канту / датум, за ово ћемо користити следеће: 
 судо аутраце / бин / дате

Видимо да је догађај са ИД -ом 16541 креиран. Сада настављамо да уносимо следећу команду да бисмо видели резиме догађаја: 

 удо аусеарцх -п 16541 --рав | аурепорт -ф -и

На овај начин можемо појединачно анализирати датотеке. На следећој вези можемо видети све врсте записа које систем ревизије може да ревидира у ЦентОС 7.

На овај начин видимо како нам систем ревизије у ЦентОС 7 може помоћи да управљамо и надгледамо догађаје који се дешавају на нашим рачунарима и на тај начин осигурамо да имамо сигуран, стабилан и оптималан систем.

На крају, остављамо вам водич о бесплатном алату ВинАудит за обављање ревизија у систему Виндовс:

Ревизија помоћу програма ВинАудит

Ви ће помоћи развој сајта, дељење страницу са пријатељима

wave wave wave wave wave

Популар Постс

wave
1
post-title
Подешавања табеле графикона у Гимпу
2
post-title
Како направити снимак екрана Аппле Ватцх 4
3
post-title
Како преузети Инстаграм видео записе на Андроид
4
post-title
Како искључити, поново покренути и присилно поново покренути Хуавеи П30
5
post-title
▷ Како ресетовати Реалме 8, Реалме 8 Про и 5Г - Враћање на фабричка подешавања

Рецоммендед

wave
- Sponsored Ad -

Избор Уредника

wave
- Sponsored Ad -