RHEL 6 システムでは、次のコマンドを実行して監査レポートを生成します。
aureport --login --summary -i
次の出力を生成します
Login Summary Report
============================
total auid
============================
Warning - freq is non-zero and incremental flushing not selected.
458 unset
87 root
このコマンドは、各システムユーザーに対して失敗したすべてのログイン試行の要約レポートを生成するとします。RHELドキュメント。
--failedしかし、失敗したログイン試行の出力を生成するためにそのオプションを使用する必要はありませんか?
また、このコマンドの出力をどのように解釈しますか?これは、ルートログインが87回失敗したことを意味しますか、それとも87は失敗したログイン回数以外のことを意味しますか?
答え1
ドキュメントを読むと、「--failed」オプションを使用すると、次のように表示されます。ただ実行中のレポートの失敗イベント。デフォルトの動作は失敗と成功を示すことです。 ~からマニュアルページ:
--failed
Only select failed events for processing in the reports. The default is both success and failed events.
その数は、特定のユーザーに対して特別に報告されたイベントの数だと思います。あなたの場合、「root」ユーザーに関連するログインイベント(失敗と成功)が87個あり、「root」ユーザーに関連するログインイベント(失敗と成功)が458個あります。未設定」。
aureportの他の良い材料は次のとおりです。