সেন্টোস/আরএইচইএল-তে অ্যাউসার্ক সরঞ্জাম ব্যবহার করে নিরীক্ষণ লগগুলি কীভাবে জিজ্ঞাসা করবেন

আমাদের শেষ নিবন্ধে, আমরা কীভাবে নিরীক্ষণ ইউটিলিটি ব্যবহার করে আরএইচইএল বা সেন্টোস সিস্টেমটি নিরীক্ষণ করব তা ব্যাখ্যা করেছি। নিরীক্ষা সিস্টেম (নিরীক্ষণ) একটি বিস্তৃত লগিং সিস্টেম এবং সে বিষয়ে সিসলগ ব্যবহার করে না। এটি কার্নেল অডিট সিস্টেম পরিচালনার পাশাপাশি লগ ফাইলগুলিতে তথ্য অনুসন্ধান এবং প্রতিবেদন তৈরির জন্য একটি সরঞ্জাম-সেট সহ আসে।

এই টিউটোরিয়ালে, আমরা কীভাবে একটি RHEL এবং CentOS ভিত্তিক লিনাক্স ডিস্ট্রিবিউশনগুলিতে নিরীক্ষিত লগ ফাইলগুলি থেকে ডেটা পুনরুদ্ধার করতে auseark সরঞ্জাম ব্যবহার করব তা ব্যাখ্যা করব।

যেমনটি আমরা আগেই উল্লেখ করেছি, অডিটিং সিস্টেমে একটি ব্যবহারকারী-স্থান অডিট ডিমন (অডিট) রয়েছে যা কার্নেল থেকে প্রাক-কনফিগার করা নিয়মের উপর ভিত্তি করে সুরক্ষা-সম্পর্কিত তথ্য সংগ্রহ করে এবং লগ ফাইলে এন্ট্রি উত্পন্ন করে।

অউসার্ক হ'ল একটি সাধারণ কমান্ড লাইন টুল যা ইভেন্ট আইডেন্টিফায়ার, কী আইডেন্টিফায়ার, সিপিইউ আর্কিটেকচার, কমান্ডের নাম, হোস্ট নেম, গ্রুপের নাম বা গ্রুপ আইডি, সিস্কেল, বার্তা এবং এর বাইরে যেমন অডিট ডেমন লগ ফাইলগুলি অনুসন্ধান করতে ব্যবহৃত হয়। এটি স্টিডিনের কাছ থেকে কাঁচা ডেটা গ্রহণ করে।

ডিফল্টরূপে, আউসার্ক /var/log/audit/audit.log ফাইলটি অনুসন্ধান করে, যা আপনি অন্য কোনও পাঠ্য ফাইলের মতো দেখতে পারেন।

# cat /var/log/audit/audit.log
OR
# cat /var/log/audit/audit.log | less

উপরের স্ক্রিনশট থেকে, আপনি আগ্রহের নির্দিষ্ট তথ্য পেতে অসুবিধা বোধ করে লগ ফাইল থেকে প্রচুর ডেটা দেখতে পারেন।

অতএব আপনার আবশ্যক দরকার, যা নিম্নলিখিত সিনট্যাক্সটি ব্যবহার করে আরও শক্তিশালী এবং দক্ষ উপায়ে তথ্য অনুসন্ধান সক্ষম করে।

# ausearch [options]

-p পতাকাটি একটি প্রক্রিয়া আইডি পাস করার জন্য ব্যবহৃত হয়।

# ausearch -p 2317

এখানে, আপনাকে নির্দিষ্ট বার্তাগুলি সনাক্ত করতে -m বিকল্প এবং সাফল্যের মান নির্ধারণ করতে -sv ব্যবহার করতে হবে।

# ausearch -m USER_LOGIN -sv no

-Ua ব্যবহারকারীর নাম পাস করার জন্য ব্যবহৃত হয়।

# ausearch -ua tecmint
OR
# ausearch -ua tecmint -i	# enable interpreting of numeric entities into text.

একটি নির্দিষ্ট সময়কাল থেকে নির্দিষ্ট ব্যবহারকারীর দ্বারা সম্পাদিত ক্রিয়াকলাপগুলি জিজ্ঞাসা করতে, শেষ তারিখ/সময় নির্দিষ্ট করার জন্য -ts এবং শেষ তারিখ/সময় নির্দিষ্ট করার জন্য -ts ব্যবহার করুন ( মনে রাখবেন যে আপনি এখন, সাম্প্রতিক, আজ, গতকাল, এই-সপ্তাহে, সপ্তাহ-আগে, এই মাসে, এই বছর পাশাপাশি প্রকৃত সময়ের বিন্যাসগুলির পরিবর্তে চেকপয়েন্ট) ব্যবহার করতে পারেন।

# ausearch -ua tecmint -ts yesterday -te now -i

সিস্টেমে কোনও প্রদত্ত ব্যবহারকারীর দ্বারা ক্রিয়া অনুসন্ধানের জন্য আরও উদাহরণ।

# ausearch -ua 1000 -ts this-week -i
# ausearch -ua tecmint -m USER_LOGIN -sv no -i

আপনি যদি ব্যবহারকারীর অ্যাকাউন্ট, গোষ্ঠী এবং ভূমিকাগুলি করতে সমস্ত সিস্টেম পরিবর্তনগুলি পর্যালোচনা করতে চান; নীচের কমান্ডের মতো বিভিন্ন কমা দ্বারা বিচ্ছিন্ন বার্তাগুলির ধরণ উল্লেখ করুন (কমা দ্বারা বিচ্ছিন্ন তালিকার যত্ন নিন, কমা এবং পরবর্তী আইটেমের মধ্যে কোনও স্থান রাখবেন না):

# ausearch -m ADD_USER,DEL_USER,USER_CHAUTHTOK,ADD_GROUP,DEL_GROUP,CHGRP_ID,ROLE_ASSIGN,ROLE_REMOVE  -i

নীচে নিরীক্ষণের নিয়মটি বিবেচনা করুন যা/ইত্যাদি/পাসডাব্লুড ব্যবহারকারীর অ্যাকাউন্ট ডেটাবেস অ্যাক্সেস বা সংশোধন করার কোনও প্রচেষ্টা লগ করবে।

# auditctl -w /etc/passwd -p rwa -k passwd_changes

এখন, উপরোক্ত ফাইলটি সম্পাদনার জন্য খোলার চেষ্টা করুন এবং নীচে এটি বন্ধ করুন।

# vi /etc/passwd

আপনি জানেন যে একটি লগ এন্ট্রি এটি সম্পর্কে রেকর্ড করা হয়েছে, আপনি সম্ভবত লেজ কমান্ডের সাহায্যে লগ ফাইলের শেষ অংশগুলি নীচে দেখতে পাবেন:

# tail /var/log/audit/audit.log

যদি আরও কয়েকটি ইভেন্ট সম্প্রতি রেকর্ড করা থাকে তবে সুনির্দিষ্ট তথ্য সন্ধান করা এত কঠিন হবে তবে ইউসার্ক ব্যবহার করে আপনি সমস্ত কোডটি দেখতে অডিট নিয়মে বর্ণিত মূল মানটি দিয়ে -k পতাকাটি পাস করতে পারেন/ইত্যাদি/পাসডাব্লুডি ফাইল অ্যাক্সেস বা পরিবর্তন করতে ইভেন্টগুলি সম্পর্কিত লগ বার্তাগুলি।

এটি নিরীক্ষণের নিয়মগুলির সংজ্ঞায়িত কনফিগারেশনের পরিবর্তনগুলিও প্রদর্শন করবে।

# ausearch -k passwd_changes | less

আরও তথ্য এবং ব্যবহারের বিকল্পগুলির জন্য, অ্যাসার্ক ম্যান পৃষ্ঠাটি পড়ুন:

# man ausearch

লিনাক্স সিস্টেম অডিটিং এবং লগ পরিচালনা সম্পর্কে আরও জানতে নিম্নলিখিত নিম্নলিখিত নিবন্ধগুলি পড়ুন।

  1. পেটিতি - লিনাক্স সিসএডমিনগুলির জন্য একটি ওপেন সোর্স লগ বিশ্লেষণ সরঞ্জাম
  2. RHEL/CentOS 7/6
    3. এ "Log.io" সরঞ্জামের সাহায্যে রিয়েল-টাইমে সার্ভার লগগুলি নিরীক্ষণ করুন
  3. লিনাক্সে লোগ্রোটেট ব্যবহার করে লগ রোটেশন কীভাবে সেটআপ এবং পরিচালনা করবেন
  4. ল্যাভ - একটি লিনাক্স টার্মিনাল থেকে অ্যাপাচি লগগুলি দেখুন এবং বিশ্লেষণ করুন

এই টিউটোরিয়ালে, আমরা বর্ণনা করেছি যে কীভাবে আরএইচইএল এবং সেন্টস-এর একটি অডিটড লগ ফাইল থেকে ডেটা পুনরুদ্ধার করতে ইউসারচ ব্যবহার করতে হয়। আপনার যদি ভাগ করে নেওয়ার কোনও প্রশ্ন বা চিন্তা থাকে তবে আমাদের কাছে পৌঁছানোর জন্য মন্তব্য বিভাগটি ব্যবহার করুন।

আমাদের পরবর্তী নিবন্ধে, আমরা কীভাবে আরএইচইএল/সেন্টস/ফেডোরায় অ্যারপোর্ট ব্যবহার করে নিরীক্ষণ লগ ফাইলগুলি থেকে প্রতিবেদন তৈরি করবেন তা ব্যাখ্যা করব।