aureport interpretando a saída do relatório

2

Eu executei o seguinte comando no meu sistema RHEL 6 para produzir um relatório de auditoria

aureport --login --summary -i

que produz a seguinte saída

Login Summary Report
============================
total  auid
============================
Warning - freq is non-zero and incremental flushing not selected.
458  unset
87  root

Diz-se que o comando gera um relatório de resumo de todas as tentativas de login com falha para cada usuário do sistema, de acordo com este P documento RHEL .

No entanto, eu não precisaria usar a opção --failed para produzir a saída para tentativas de login com falha?

Além disso, como a saída deste comando deve ser interpretada? Isso significa 87 logins com falha para root ou 87 significa algo mais além do número de logins com falha?

    
por jgr208 05.04.2016 / 15:29

1 resposta

2

Ao ler a documentação, acho que usar a opção "--failed" mostraria eventos com falha apenas para o relatório que você está executando. O comportamento padrão é mostrar falhas e sucessos. De a página do manual :

--failed
       Only select failed events for processing in the reports. The default is both success and failed events.

Acredito que o número seja o número de eventos desse relatório específico para esse usuário específico. No seu caso, há 87 eventos de login (com falha e êxito) associados ao usuário "root", e há 458 eventos de login (mais uma vez, com falha e êxito) associados ao usuário " desfeito ".

Veja algumas boas leituras adicionais sobre o aureport:

por 05.04.2016 / 15:36