11.12. 감사를 사용하여 사용자 로그인 시간 모니터링
특정 시간에 로그인한 사용자를 모니터링하려면 특별한 방법으로 감사를 구성할 필요가 없습니다. 동일한 정보를 제공하는 다양한 방법을 제공하는 ausearch 또는 aureport 도구를 사용할 수 있습니다.
사전 요구 사항
-
auditd는 보안 환경에 대해 auditd 구성에 제공된 설정에 따라 구성됩니다.
절차
사용자 로그인 시간을 표시하려면 다음 명령 중 하나를 사용합니다.
USER_LOGIN메시지 유형의 감사 로그를 검색합니다.# ausearch -m USER_LOGIN -ts '12/02/2020' '18:00:00' -sv no time->Mon Nov 22 07:33:22 2021 type=USER_LOGIN msg=audit(1637584402.416:92): pid=1939 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=10.37.128.108 terminal=ssh res=failed'-
ts옵션을 사용하여 날짜와 시간을 지정할 수 있습니다. 이 옵션을 사용하지 않는 경우ausearch는 오늘부터 결과를 제공하며 시간을 생략하면ausearch는 자정에서 결과를 제공합니다. -
-sv yes옵션을 사용하여 성공적인 로그인 시도를 필터링하고 실패한 로그인 시도에는-sv no를 사용할 수 있습니다.
-
ausearch명령의 원시 출력을aulast유틸리티로 파이프하여마지막명령의 출력과 유사한 형식으로 출력을 표시합니다. 예를 들어 다음과 같습니다.# ausearch --raw | aulast --stdin root ssh 10.37.128.108 Mon Nov 22 07:33 - 07:33 (00:00) root ssh 10.37.128.108 Mon Nov 22 07:33 - 07:33 (00:00) root ssh 10.22.16.106 Mon Nov 22 07:40 - 07:40 (00:00) reboot system boot 4.18.0-348.6.el8 Mon Nov 22 07:33aureport명령을--login -i옵션과 함께 사용하여 로그인 이벤트 목록을 표시합니다.# aureport --login -i Login Report ============================================ # date time auid host term exe success event ============================================ 1. 11/16/2021 13:11:30 root 10.40.192.190 ssh /usr/sbin/sshd yes 6920 2. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6925 3. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6930 4. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6935 5. 11/16/2021 13:11:33 root 10.40.192.190 ssh /usr/sbin/sshd yes 6940 6. 11/16/2021 13:11:33 root 10.40.192.190 /dev/pts/0 /usr/sbin/sshd yes 6945
추가 리소스
-
ausearch(8),aulast(8)및aureport(8)도움말 페이지
