11.12. Audit によるユーザーログイン時刻の監視

前提条件

• auditd が、環境を保護するための auditd の設定で提供される設定に従って定義されている。

• 監査ログで USER_LOGIN メッセージタイプを検索します。

  # ausearch -m USER_LOGIN -ts '12/02/2020' '18:00:00' -sv no
  time->Mon Nov 22 07:33:22 2021
  type=USER_LOGIN msg=audit(1637584402.416:92): pid=1939 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=10.37.128.108 terminal=ssh res=failed'

  Copy to Clipboard Toggle word wrap
  • -ts オプションを使用して日付と時刻を指定できます。このオプションを使用しない場合、ausearch は今日の結果を提供し、時刻を省略すると、ausearch は午前 0 時からの結果を提供します。
  • 成功したログイン試行を除外するには -sv yes オプションを、失敗したログイン試行を除外するには -sv no を、それぞれ使用することができます。

• ausearch コマンドの生の出力を aulast ユーティリティーにパイプで渡します。このユーティリティーは、last コマンドの出力と同様の形式で出力を表示します。以下に例を示します。

  # ausearch --raw | aulast --stdin
  root     ssh          10.37.128.108    Mon Nov 22 07:33 - 07:33  (00:00)
  root     ssh          10.37.128.108    Mon Nov 22 07:33 - 07:33  (00:00)
  root     ssh          10.22.16.106     Mon Nov 22 07:40 - 07:40  (00:00)
  reboot   system boot  4.18.0-348.6.el8 Mon Nov 22 07:33

  Copy to Clipboard Toggle word wrap

• --login -i オプションを指定して aureport コマンドを使用し、ログインイベントのリストを表示します。

  # aureport --login -i
  
  Login Report
  ============================================
  # date time auid host term exe success event
  ============================================
  1. 11/16/2021 13:11:30 root 10.40.192.190 ssh /usr/sbin/sshd yes 6920
  2. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6925
  3. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6930
  4. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6935
  5. 11/16/2021 13:11:33 root 10.40.192.190 ssh /usr/sbin/sshd yes 6940
  6. 11/16/2021 13:11:33 root 10.40.192.190 /dev/pts/0 /usr/sbin/sshd yes 6945

  Copy to Clipboard Toggle word wrap