11.12. 使用审计监控用户登录时间

先决条件

• auditd 是根据 为安全环境配置 auditd 中提供的设置进行配置的。

• 在审计日志中搜索 USER_LOGIN 消息类型：

  # ausearch -m USER_LOGIN -ts '12/02/2020' '18:00:00' -sv no
  time->Mon Nov 22 07:33:22 2021
  type=USER_LOGIN msg=audit(1637584402.416:92): pid=1939 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=10.37.128.108 terminal=ssh res=failed'

  Copy to Clipboard Toggle word wrap
  • 您可以使用 -ts 选项指定日期和时间。如果不使用这个选项，ausearch 将提供从当天开始的结果，如果您省略时间，ausearch 将提供从午夜开始的结果。
  • 您可以使用 -sv yes 选项来过滤成功的登录尝试，-sv no 用来过滤失败的登录尝试。

• 将 ausearch 命令的原始输出传送给 aulast 工具，它以类似于 last 命令的输出格式显示输出。例如：

  # ausearch --raw | aulast --stdin
  root     ssh          10.37.128.108    Mon Nov 22 07:33 - 07:33  (00:00)
  root     ssh          10.37.128.108    Mon Nov 22 07:33 - 07:33  (00:00)
  root     ssh          10.22.16.106     Mon Nov 22 07:40 - 07:40  (00:00)
  reboot   system boot  4.18.0-348.6.el8 Mon Nov 22 07:33

  Copy to Clipboard Toggle word wrap

• 使用 aureport 命令及 --login -i 选项来显示登录事件列表。

  # aureport --login -i
  
  Login Report
  ============================================
  # date time auid host term exe success event
  ============================================
  1. 11/16/2021 13:11:30 root 10.40.192.190 ssh /usr/sbin/sshd yes 6920
  2. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6925
  3. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6930
  4. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6935
  5. 11/16/2021 13:11:33 root 10.40.192.190 ssh /usr/sbin/sshd yes 6940
  6. 11/16/2021 13:11:33 root 10.40.192.190 /dev/pts/0 /usr/sbin/sshd yes 6945

  Copy to Clipboard Toggle word wrap