aureport 명령어로 리눅스의 audit daemon log 보기

설치

aureport 는 audit 패키지에 포함된 유틸리티로 audit 데몬이 남기는 로그의 요약 리포트를 볼 수 있게 해준다.

yum install auditd
sudo apt install auditd


사용

많은 옵션들이 있지만 많이 사용하는 옵션은 다음과 같다.

  • -au, --auth : 인증 시도에 대한 리포트 생성
  • -a, --avc : avc message(SElinux) 에 대한 리포트. SELinux 의 에러 상황을 확인하는데 유용하다.
  • -f, --file : 파일에 대한 리포트
  • -l, --login : 로그인에 대한 리포트
  • -h, --hostReport : 호스트에 대한 리포트
  • --failed: 실패한 건만 리포트. 


로그인 실패만 표시

로그인 실패 건을 확인하려면 다음과 같이 -l 과 같이 사용하면 된다.

# aureport -l --failed

Login Report
============================================
# date time auid host term exe success event
============================================
1. 2014년 06월 07일 09:24:15 (unknown user) 192.168.152.130 ssh /usr/sbin/sshd no 19
2. 2014년 06월 14일 01:23:48 (unknown user) 192.168.152.1 ssh /usr/sbin/sshd no 9
3. 2014년 06월 14일 01:24:50 (invalid user) 192.168.152.1 ssh /usr/sbin/sshd no 33
4. 2014년 06월 14일 01:25:03 lesstif 192.168.152.1 ssh /usr/sbin/sshd no 60

성공한 인증 시도만 표시

성공한 모든 인증 시도 표시

aureport -au -i --success


사용자 관련 이벤트 정보 출력

id 가 500 인 사용자의 모든 이벤트 정보 출력

ausearch -ui 501 --interpret




Ref