11.12. 使用审计监控用户登录时间
要监控特定时间哪个用户登录了,您不需要以任何特殊的方式配置审计。您可以使用 ausearch
或 aureport
工具,它们提供不同的方法来展示相同的信息。
先决条件
-
auditd
是根据 为安全环境配置 auditd 中提供的设置进行配置的。
流程
要显示用户登录的时间,请使用以下命令之一:
在审计日志中搜索
USER_LOGIN
消息类型:# ausearch -m USER_LOGIN -ts '12/02/2020' '18:00:00' -sv no time->Mon Nov 22 07:33:22 2021 type=USER_LOGIN msg=audit(1637584402.416:92): pid=1939 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=10.37.128.108 terminal=ssh res=failed'
-
您可以使用
-ts
选项指定日期和时间。如果不使用这个选项,ausearch
将提供从当天开始的结果,如果您省略时间,ausearch
将提供从午夜开始的结果。 -
您可以使用
-sv yes
选项来过滤成功的登录尝试,-sv no
用来过滤失败的登录尝试。
-
您可以使用
将
ausearch
命令的原始输出传送给aulast
工具,它以类似于last
命令的输出格式显示输出。例如:# ausearch --raw | aulast --stdin root ssh 10.37.128.108 Mon Nov 22 07:33 - 07:33 (00:00) root ssh 10.37.128.108 Mon Nov 22 07:33 - 07:33 (00:00) root ssh 10.22.16.106 Mon Nov 22 07:40 - 07:40 (00:00) reboot system boot 4.18.0-348.6.el8 Mon Nov 22 07:33
使用
aureport
命令及--login -i
选项来显示登录事件列表。# aureport --login -i Login Report ============================================ # date time auid host term exe success event ============================================ 1. 11/16/2021 13:11:30 root 10.40.192.190 ssh /usr/sbin/sshd yes 6920 2. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6925 3. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6930 4. 11/16/2021 13:11:31 root 10.40.192.190 ssh /usr/sbin/sshd yes 6935 5. 11/16/2021 13:11:33 root 10.40.192.190 ssh /usr/sbin/sshd yes 6940 6. 11/16/2021 13:11:33 root 10.40.192.190 /dev/pts/0 /usr/sbin/sshd yes 6945
其它资源
-
ausearch (8)
,aulast (8)
, 和aureport (8)
man page