7.11. Audit によるユーザーログイン時刻の監視

手順

1. Audit ログで USER_LOGIN メッセージタイプを検索します。

   # ausearch -m USER_LOGIN -ts '12/02/2020' '18:00:00' -sv no
   time->Mon Nov 22 07:33:22 2021
   type=USER_LOGIN msg=audit(1637584402.416:92): pid=1939 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=10.37.128.108 terminal=ssh res=failed'

   • -ts オプションを使用して日付と時刻を指定できます。このオプションを使用しない場合、ausearch は今日の結果を提供し、時刻を省略すると、ausearch は午前 0 時からの結果を提供します。
   • 成功したログイン試行を除外するには -sv yes オプションを、失敗したログイン試行を除外するには -sv no を、それぞれ使用することができます。

2. ausearch コマンドの生の出力を aulast ユーティリティーにパイプで渡します。このユーティリティーは、last コマンドの出力と同様の形式で出力を表示します。以下に例を示します。

   # ausearch --raw | aulast --stdin
   root     ssh          10.37.128.108    Mon Nov 22 07:33 - 07:33  (00:00)
   root     ssh          10.37.128.108    Mon Nov 22 07:33 - 07:33  (00:00)
   root     ssh          10.22.16.106     Mon Nov 22 07:40 - 07:40  (00:00)
   reboot   system boot  4.18.0-348.6.el8 Mon Nov 22 07:33

3. --login -i オプションを指定して aureport コマンドを使用し、ログインイベントのリストを表示します。

   # aureport --login -i
   
   Login Report
   ============================================
   # date time auid host term exe success event
   ============================================
   1. 11/16/2021 13:11:30 root 10.40.192.190 ssh /usr/sbin/sshd yes 6920
   2. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6925
   3. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6930
   4. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6935
   5. 11/16/2021 13:11:33 root 10.40.192.190 ssh /usr/sbin/sshd yes 6940
   6. 11/16/2021 13:11:33 root 10.40.192.190 /dev/pts/0 /usr/sbin/sshd yes 6945