Aureport, genera resúmenes de los registros del sistema
En el siguiente artículo vamos a echar un vistazo a aureport. Esta es una herramienta que produce informes resumidos de los registros del sistema para su auditoría. Esta utilidad también puede hacer uso de stdin siempre que la entrada sea la información de registro sin procesar. Los informes tienen una etiqueta de columna en la parte superior para ayudar con la interpretación de los diversos campos. Excepto por el informe resumido principal, todos los informes tienen un número de evento de auditoría.
Los informes producidos por aureport se pueden usar como bloques de construcción para análisis más complicados. Este no es un comando complejo, es muy fácil de usar. Al final de este post creo que todos conoceremos un poco más las formas en las que se puede utilizar este comando para generar informes de nuestro sistema.
Instalación de aureport
Para instalar esta herramienta en nuestro Ubuntu, necesitaremos instalar auditd. Este es el componente de espacio de usuario para el sistema de auditoría de Gnu/Linux. Tras la instalación vamos a poder ver los registros con las utilidades ausearch o aureport. El demonio auditd permite al administrador de un sistema Gnu/Linux recibir la información de auditoría de seguridad que el núcleo genera, filtrarla y almacenarla en archivos.
Para llevar a cabo la instalación, para este ejemplo lo voy a realizar sobre Ubuntu 17.10, solo tendremos que escribir en la terminal (Ctrl+Alt+T) el siguiente comando:
sudo apt install auditd
Con esto ya tendremos instalado todo lo necesario y podremos hacer uso de esta herramienta en la terminal. Si no utilizas la cuenta de root, tendrás que añadir sudo a cada uno de los comandos.
Usando aureport
Ejecuta el informe del resumen que nos proporciona un total de los elementos del informe principal. Hay que tener en cuenta que no todos los informes tienen un resumen para poder ser utilizado. Si queremos obtener el informe resumido que nos puede proporcionar aureport, simplemente tendremos que ejecutar el siguiente comando en la terminal (Ctrl+Alt+T). El informe resumen se genera como resultado:
aureport
En caso de querer generar el informe de autenticación, tendremos que ejecutar el comando utilizando la opción au. En la terminal tendremos que escribirlo de la siguiente manera:
aureport -au
El comando también nos puede mostrar el informe de ejecutables de nuestro sistema. Para obtener este informe tendremos que ejecutar el comando con la opción x en nuestra terminal:
aureport -x
Para seleccionar los eventos fallidos para procesarlos en los informes, tendremos que añadir la opción failed. El valor predeterminado es tanto eventos exitosos como fallidos. Tendremos que escribir el comando como se muestra a continuación:
aureport --failed
Si lo que queremos ver es el informe de inicio de sesión, tendremos que ejecutar el comando utilizando la opción l como se ve en la siguiente captura:
aureport -l
Ver el informe criptográfico también es posible si utilizamos el comando con la opción cr, como se puede ver a continuación:
aureport -cr
También podremos verificar nuestro informe de modificación de cuenta. Solo tendremos que añadir la opción m. El comando ha de ejecutarse de la siguiente manera:
aureport -m
Para ver el informe PID, solo tendremos que añadir la opción p al comando como se muestra a continuación:
aureport -p
Además, podremos ver el informe de llamadas al sistema (Syscall) utilizando la opción s. Podremos ejecutar el comando utilizando de la siguiente manera:
aureport -s
Para ver el informe de las operaciones realizadas con éxito, solo tendremos que ejecutar el comando añadiéndole la opción success a este comando:
aureport --success
Para terminar, vamos a poder ver las opciones disponibles para este comando. Simplemente habrá que añadir la opción de ayuda al comando aureport. Tendremos que escribirlo en la terminal como se muestra a continuación:
aureport --help
Desinstalar
Para eliminar esta herramienta de nuestro sistema, solo hay que abrir una terminal (Ctrl+Alt+T) y escribir en ella:
sudo apt remove auditd && sudo apt autoremove
Con esto ya tenemos una idea general de la cobertura y del uso del comando aureport, aun que esto es solo una muestra. Quién lo necesite, puede obtener ayuda desde la página que podemos encontrar en manpages. Ahí encontraremos la misma información que nuestro sistema nos mostrará al ejecutar la ayuda de man sobre el comando aureport.
El artículo Aureport, genera resúmenes de los registros del sistema ha sido originalmente publicado en Ubunlog.