查看审计报告
一旦定义审计规则后,它会自动运行。过一段时间后,我们可以看看auditd是如何帮我们跟踪审计的。
Auditd提供了另一个工具叫 aureport 。从名字上可以猜到, aureport 是使用系统审计日志生成简要报告的工具。
我们已经配置auditd去跟踪/etc/passwd文件。auditd参数设置后一段时间后,audit.log 文件就创建出来了。
生成审计报告,我们可以使用aureport工具。不带参数运行的话,可以生成审计活动的概述。
$ sudo aureport
如上,报告包含了大多数重要区域的信息。
上图可以看出有 3 次授权失败。 使用aureport,我们可以深入查看这些信息。
1、
看所有账户修改相关的事件,可以使用-m参数。
$ sudo aureport -m
2、
使用以下命令查看授权失败的详细信息:
$ sudo aureport -au
从上图可以看出,由两个用户在特定的时间授权失败。
标签:audit,aureport,系统安全,查看,可以,sudo,auditd,linux,审计 From: https://blog.51cto.com/u_3369545/6595408