সেন্টোস/আরএইচইএল-তে অ্যাউসার্ক সরঞ্জাম ব্যবহার করে নিরীক্ষণ লগগুলি কীভাবে জিজ্ঞাসা করবেন
আমাদের শেষ নিবন্ধে, আমরা কীভাবে নিরীক্ষণ ইউটিলিটি ব্যবহার করে আরএইচইএল বা সেন্টোস সিস্টেমটি নিরীক্ষণ করব তা ব্যাখ্যা করেছি। নিরীক্ষা সিস্টেম (নিরীক্ষণ) একটি বিস্তৃত লগিং সিস্টেম এবং সে বিষয়ে সিসলগ ব্যবহার করে না। এটি কার্নেল অডিট সিস্টেম পরিচালনার পাশাপাশি লগ ফাইলগুলিতে তথ্য অনুসন্ধান এবং প্রতিবেদন তৈরির জন্য একটি সরঞ্জাম-সেট সহ আসে।
এই টিউটোরিয়ালে, আমরা কীভাবে একটি RHEL এবং CentOS ভিত্তিক লিনাক্স ডিস্ট্রিবিউশনগুলিতে নিরীক্ষিত লগ ফাইলগুলি থেকে ডেটা পুনরুদ্ধার করতে auseark সরঞ্জাম ব্যবহার করব তা ব্যাখ্যা করব।
যেমনটি আমরা আগেই উল্লেখ করেছি, অডিটিং সিস্টেমে একটি ব্যবহারকারী-স্থান অডিট ডিমন (অডিট) রয়েছে যা কার্নেল থেকে প্রাক-কনফিগার করা নিয়মের উপর ভিত্তি করে সুরক্ষা-সম্পর্কিত তথ্য সংগ্রহ করে এবং লগ ফাইলে এন্ট্রি উত্পন্ন করে।
অউসার্ক হ'ল একটি সাধারণ কমান্ড লাইন টুল যা ইভেন্ট আইডেন্টিফায়ার, কী আইডেন্টিফায়ার, সিপিইউ আর্কিটেকচার, কমান্ডের নাম, হোস্ট নেম, গ্রুপের নাম বা গ্রুপ আইডি, সিস্কেল, বার্তা এবং এর বাইরে যেমন অডিট ডেমন লগ ফাইলগুলি অনুসন্ধান করতে ব্যবহৃত হয়। এটি স্টিডিনের কাছ থেকে কাঁচা ডেটা গ্রহণ করে।
ডিফল্টরূপে, আউসার্ক /var/log/audit/audit.log ফাইলটি অনুসন্ধান করে, যা আপনি অন্য কোনও পাঠ্য ফাইলের মতো দেখতে পারেন।
# cat /var/log/audit/audit.log OR # cat /var/log/audit/audit.log | less
উপরের স্ক্রিনশট থেকে, আপনি আগ্রহের নির্দিষ্ট তথ্য পেতে অসুবিধা বোধ করে লগ ফাইল থেকে প্রচুর ডেটা দেখতে পারেন।
অতএব আপনার আবশ্যক দরকার, যা নিম্নলিখিত সিনট্যাক্সটি ব্যবহার করে আরও শক্তিশালী এবং দক্ষ উপায়ে তথ্য অনুসন্ধান সক্ষম করে।
# ausearch [options]
-p
পতাকাটি একটি প্রক্রিয়া আইডি পাস করার জন্য ব্যবহৃত হয়।
# ausearch -p 2317
এখানে, আপনাকে নির্দিষ্ট বার্তাগুলি সনাক্ত করতে -m
বিকল্প এবং সাফল্যের মান নির্ধারণ করতে -sv
ব্যবহার করতে হবে।
# ausearch -m USER_LOGIN -sv no
-Ua ব্যবহারকারীর নাম পাস করার জন্য ব্যবহৃত হয়।
# ausearch -ua tecmint OR # ausearch -ua tecmint -i # enable interpreting of numeric entities into text.
একটি নির্দিষ্ট সময়কাল থেকে নির্দিষ্ট ব্যবহারকারীর দ্বারা সম্পাদিত ক্রিয়াকলাপগুলি জিজ্ঞাসা করতে, শেষ তারিখ/সময় নির্দিষ্ট করার জন্য -ts
এবং শেষ তারিখ/সময় নির্দিষ্ট করার জন্য -ts
ব্যবহার করুন ( মনে রাখবেন যে আপনি এখন, সাম্প্রতিক, আজ, গতকাল, এই-সপ্তাহে, সপ্তাহ-আগে, এই মাসে, এই বছর পাশাপাশি প্রকৃত সময়ের বিন্যাসগুলির পরিবর্তে চেকপয়েন্ট) ব্যবহার করতে পারেন।
# ausearch -ua tecmint -ts yesterday -te now -i
সিস্টেমে কোনও প্রদত্ত ব্যবহারকারীর দ্বারা ক্রিয়া অনুসন্ধানের জন্য আরও উদাহরণ।
# ausearch -ua 1000 -ts this-week -i # ausearch -ua tecmint -m USER_LOGIN -sv no -i
আপনি যদি ব্যবহারকারীর অ্যাকাউন্ট, গোষ্ঠী এবং ভূমিকাগুলি করতে সমস্ত সিস্টেম পরিবর্তনগুলি পর্যালোচনা করতে চান; নীচের কমান্ডের মতো বিভিন্ন কমা দ্বারা বিচ্ছিন্ন বার্তাগুলির ধরণ উল্লেখ করুন (কমা দ্বারা বিচ্ছিন্ন তালিকার যত্ন নিন, কমা এবং পরবর্তী আইটেমের মধ্যে কোনও স্থান রাখবেন না):
# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE -i
নীচে নিরীক্ষণের নিয়মটি বিবেচনা করুন যা/ইত্যাদি/পাসডাব্লুড ব্যবহারকারীর অ্যাকাউন্ট ডেটাবেস অ্যাক্সেস বা সংশোধন করার কোনও প্রচেষ্টা লগ করবে।
# auditctl -w /etc/passwd -p rwa -k passwd_changes
এখন, উপরোক্ত ফাইলটি সম্পাদনার জন্য খোলার চেষ্টা করুন এবং নীচে এটি বন্ধ করুন।
# vi /etc/passwd
আপনি জানেন যে একটি লগ এন্ট্রি এটি সম্পর্কে রেকর্ড করা হয়েছে, আপনি সম্ভবত লেজ কমান্ডের সাহায্যে লগ ফাইলের শেষ অংশগুলি নীচে দেখতে পাবেন:
# tail /var/log/audit/audit.log
যদি আরও কয়েকটি ইভেন্ট সম্প্রতি রেকর্ড করা থাকে তবে সুনির্দিষ্ট তথ্য সন্ধান করা এত কঠিন হবে তবে ইউসার্ক ব্যবহার করে আপনি সমস্ত কোডটি দেখতে অডিট নিয়মে বর্ণিত মূল মানটি দিয়ে -k
পতাকাটি পাস করতে পারেন/ইত্যাদি/পাসডাব্লুডি ফাইল অ্যাক্সেস বা পরিবর্তন করতে ইভেন্টগুলি সম্পর্কিত লগ বার্তাগুলি।
এটি নিরীক্ষণের নিয়মগুলির সংজ্ঞায়িত কনফিগারেশনের পরিবর্তনগুলিও প্রদর্শন করবে।
# ausearch -k passwd_changes | less
আরও তথ্য এবং ব্যবহারের বিকল্পগুলির জন্য, অ্যাসার্ক ম্যান পৃষ্ঠাটি পড়ুন:
# man ausearch
লিনাক্স সিস্টেম অডিটিং এবং লগ পরিচালনা সম্পর্কে আরও জানতে নিম্নলিখিত নিম্নলিখিত নিবন্ধগুলি পড়ুন।
- পেটিতি - লিনাক্স সিসএডমিনগুলির জন্য একটি ওপেন সোর্স লগ বিশ্লেষণ সরঞ্জাম
- RHEL/CentOS 7/6 এ "Log.io" সরঞ্জামের সাহায্যে রিয়েল-টাইমে সার্ভার লগগুলি নিরীক্ষণ করুন
- লিনাক্সে লোগ্রোটেট ব্যবহার করে লগ রোটেশন কীভাবে সেটআপ এবং পরিচালনা করবেন
- ল্যাভ - একটি লিনাক্স টার্মিনাল থেকে অ্যাপাচি লগগুলি দেখুন এবং বিশ্লেষণ করুন
এই টিউটোরিয়ালে, আমরা বর্ণনা করেছি যে কীভাবে আরএইচইএল এবং সেন্টস-এর একটি অডিটড লগ ফাইল থেকে ডেটা পুনরুদ্ধার করতে ইউসারচ ব্যবহার করতে হয়। আপনার যদি ভাগ করে নেওয়ার কোনও প্রশ্ন বা চিন্তা থাকে তবে আমাদের কাছে পৌঁছানোর জন্য মন্তব্য বিভাগটি ব্যবহার করুন।
আমাদের পরবর্তী নিবন্ধে, আমরা কীভাবে আরএইচইএল/সেন্টস/ফেডোরায় অ্যারপোর্ট ব্যবহার করে নিরীক্ষণ লগ ফাইলগুলি থেকে প্রতিবেদন তৈরি করবেন তা ব্যাখ্যা করব।