11.12. 감사를 사용하여 사용자 로그인 시간 모니터링
특정 시간에 로그인한 사용자를 모니터링하려면 특별한 방식으로 감사를 구성할 필요가 없습니다. 동일한 정보를 표시하는 다양한 방법을 제공하는 ausearch
또는 aureport
도구를 사용할 수 있습니다.
사전 요구 사항
-
auditd
는 보안 환경에 대해 auditd 구성에 제공된 설정에 따라 구성됩니다.
절차
사용자 로그를 표시하려면 다음 명령 중 하나를 사용합니다.
USER_LOGIN
메시지 유형의 감사 로그를 검색합니다.# ausearch -m USER_LOGIN -ts '12/02/2020' '18:00:00' -sv no time->Mon Nov 22 07:33:22 2021 type=USER_LOGIN msg=audit(1637584402.416:92): pid=1939 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=10.37.128.108 terminal=ssh res=failed'
-
-ts
옵션을 사용하여 날짜 및 시간을 지정할 수 있습니다. 이 옵션을 사용하지 않는 경우ausearch
는 오늘 결과를 제공하고 시간을 생략하면ausearch
는 자정의 결과를 제공합니다. -
-sv yes
옵션을 사용하여 성공적인 로그인 시도를 필터링하고 실패한 로그인 시도에 대해-sv no
를 필터링할 수 있습니다.
-
ausearch
명령의 원시 출력을aulast
유틸리티로 파이프하여마지막
명령의 출력과 유사한 형식으로 출력을 표시합니다. 예를 들어 다음과 같습니다.# ausearch --raw | aulast --stdin root ssh 10.37.128.108 Mon Nov 22 07:33 - 07:33 (00:00) root ssh 10.37.128.108 Mon Nov 22 07:33 - 07:33 (00:00) root ssh 10.22.16.106 Mon Nov 22 07:40 - 07:40 (00:00) reboot system boot 4.18.0-348.6.el8 Mon Nov 22 07:33
aureport
명령을--login -i
옵션과 함께 사용하여 로그인 이벤트 목록을 표시합니다.# aureport --login -i Login Report ============================================ # date time auid host term exe success event ============================================ 1. 11/16/2021 13:11:30 root 10.40.192.190 ssh /usr/sbin/sshd yes 6920 2. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6925 3. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6930 4. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6935 5. 11/16/2021 13:11:33 root 10.40.192.190 ssh /usr/sbin/sshd yes 6940 6. 11/16/2021 13:11:33 root 10.40.192.190 /dev/pts/0 /usr/sbin/sshd yes 6945
추가 리소스
-
ausearch(8)
,aulast(8)
및aureport(8)
도움말 페이지