Skip to main content

comandos



Criar um relatorio. Este comando pesquisa no log de auditoria todos os eventos associados à chave user_monitor e gera um relatório de arquivos acessados, interpretando os dados para facilitar a leitura.

$ ausearch -k user_monitor | aureport  -f -i
14. 10/29/2024 13:47:56 . openat yes /usr/bin/ls fulano 394

# A partir do relatorio, podemos pegar o ID de cada evento e consultar.

Veja em que diretório o usuário estava quando o evento com 'id = 590' ocorreu:

$ ausearch -k user_monitor --interpret | grep 590 | grep cwd
type=CWD msg=audit(10/29/2024 16:58:10.453:590) : cwd=/home/fulano/bin

# Este comando busca o evento com ID **590** e exibe o diretório de trabalho atual (**CWD**) no momento do evento.

Veja qual o comando o usuário executou no evento com 'id = 590':

$ ausearch -k user_monitor --interpret | grep 590 | grep proctitle
type=PROCTITLE msg=audit(10/29/2024 16:58:10.453:590) : proctitle=vim novo1.txt 

# Este comando exibe o comando executado (**PROCTITLE**) no evento de ID **590**.

Veja quem foi o usuário que executou o evento com 'id = 590':

$ ausearch -k user_monitor --interpret | grep 590 | grep -Eo ' auid=[[:alnum:]]+ '
auid=fulano

# Este comando mostra o identificador de usuário (**auid**) associado ao evento de ID **590**. O parâmetro `type=SYSCALL` é usado porque o campo **auid** está presente nas mensagens desse tipo.

Ver os comandos que um usuário executou (modo detail):

$ ausearch -ua fulano --message PROCTITLE --message SYSCALL --message PATH -k user_monitor --success yes --interpret

# Este comando exibe apenas as mensagens de tipo **PROCTITLE**, mostrando os comandos executados pelo usuário **fulano**.

Ver apenas os comandos que um usuário em especifico executou:

$ ausearch -ua jose --message PROCTITLE --message SYSCALL --message PATH -k user_monitor --success yes --interpret | grep 'type=PROCTITLE'

Modo relatorio com buscas personalizadas:

$ ausearch -ua jose -k user_monitor --success yes | aureport  -f -i

# Este comando busca eventos bem-sucedidos relacionados ao usuário **jose** com a chave `user_monitor` e gera um relatório de arquivos acessados.

Gerar um relatório filtrando por 'openat' e excluindo 'viminfo':

$ ausearch -ua jose -k user_monitor --success yes | aureport  -f -i | grep 'openat' | grep -v 'viminfo' 

# Este comando estende o anterior, filtrando o relatório para mostrar apenas eventos que envolvem a chamada de sistema **openat** e excluindo aqueles que contêm **viminfo**.

Abaixo estão as principais chamadas de sistemas que podem ser úteis:

  • SYSCALL
    Registra chamadas de sistema, incluindo operações como open, write, e unlink. Essas são essenciais para monitorar edições, pois refletem operações no nível do sistema.

  • PATH
    Fornece o caminho completo de um arquivo ou diretório afetado durante uma chamada de sistema, útil para identificar qual arquivo específico foi editado ou acessado.

  • CWD
    Mostra o diretório de trabalho atual (Current Working Directory) do processo que realizou a operação, o que ajuda a identificar o contexto da edição.

  • OPENAT2
    Específico para operações openat, ele é um bom indicador de que um arquivo foi acessado ou modificado.

  • EXECVE
    Mostra comandos executados que podem ter sido usados para editar arquivos (como vim, nano, etc.), registrando informações sobre a execução do comando.