Linux 稽核與報告

Linux 系統在許多組織中很受歡迎，稽核 Linux 系統的 syslog 可以提供有關網路中事件的重要資訊。該資訊將幫助您決定各種管理和安全動作。稽核 Linux 系統涉及以下方面：

• 監視所有 system 登入和登出。
• 追蹤對使用者帳戶和群組進行的所有變更。
• 始終瞭解抽取式裝置插入網路或從網路中取出時的所有執行個體。
• 追蹤所有 sudo 命令執行。
• 監視 Linux 郵件和 FTP 伺服器以瞭解執行的動作、出現的錯誤等。
• 瞭解任何潛在安全威脅以便預防。
• 識別每個安全級別發生的所有事件，包括嚴重事件。
• 追蹤其他一些事件，如工作階段連線、NFS 掛接等。

稽核 Linux 系統可讓您完全控製網路的安全和管理。但是，這不是一件簡單的事情。您可以使用 EventLog Analyzer（一種全方位的 syslog 管理解決方案）來維護安全的 Linux 系統。

使用 EventLog Analyzer 稽核 Linux 系統

• 完成 Linux 記錄管理和稽核。
• 監視 Linux 處理序、使用者活動、郵件伺服器等。
• 超過 100 個專用於 Linux 系統的預定義報表，包括伺服器錯誤、伺服器使用情況和安全報表。
• 根據需要自訂、排程和匯出報表，甚至定義自訂報表。
• 報表以圖形、清單和表格格式提供，您可以輕鬆地從任何報表項目中提取純文字記錄資訊。
• 針對您想要即時追蹤的所有事件接收即時電子郵件或 SMS 通知。
• 關聯功能提供了一個可自訂規則的裝置，以便在序列中發生特定事件時警示您。
• 透過靈活的記錄取證功能，可以安全地封存記錄並輕鬆搜尋。

Linux 登入和登出報表

• 追蹤所有登入和登出，包括登入的各種方法，如 SU、SSH 和 FTP 登入。
• 概覽和前 N 報表會總結資訊，並展示最常登入的使用者和裝置。

可用報表

使用者登入 | SU 登入 | SSH 登入 | FTP 或 SFTP 登入 | 登入概覽| 基於使用者的登入排行 | 基於裝置的登入排行 | 基於遠端裝置的登入排行 | Linux 登入方法排行 | 登入趨勢 | 使用者登出 | SU 登出 | SSH 登出 | FTP 或 SFTP 登出 | 登出概覽

Linux 失敗登入報表

• 檢視所有失敗登入清單。
• 前 N 報表會展示失敗登入嘗試最多的使用者。
• 識別多次連續驗證失敗的使用者。
• 識別產生失敗登入嘗試次數最多的遠端裝置。

可用報表

使用者失敗登入 | SU 失敗登入 | SSH 失敗登入 | FTP 或 SFTP 失敗登入 | 失敗登入概覽 | 基於使用者的失敗登入排行 | 基於裝置的失敗登入排行 | 基於遠端裝置的失敗登入排行 | 失敗的登入方法排行 | 失敗登入趨勢 | 重複驗證失敗 | 無效的使用者登入嘗試 | 使用長密碼登入失敗 | 基於遠端裝置的重複登入失敗 | 基於遠端裝置的重複驗證失敗

Linux 使用者帳戶管理

• 探索已新增、移除或重新命名的所有使用者帳戶和群組。
• 識別失敗的密碼變更和新增使用者。
• 瞭解最常發生的使用者帳戶管理任務。

可用報表

已新增使用者帳戶 | 已刪除使用者帳戶 | 已重新命名使用者帳戶 | 已新增群組 | 已刪除群組 | 已重新命名群組 | 密碼變更 | 密碼變更失敗 | 新增使用者失敗 | Linux 帳戶管理事件排行

Linux 抽取式磁碟稽核

• 稽核您的 Linux 系統上抽取式裝置的使用情況。
• 瞭解網路中每次插入或取出抽取式裝置的詳細資料。

可用報表

插入 USB | 取出 USB

Sudo 命令

• 檢視所有成功和失敗的 sudo 命令執行的詳細資料。
• 識別最常嘗試的 sudo 命令。

可用報表

SUDO 命令執行 | SUDO 命令執行失敗 | SUDO 命令執行排行 | 失敗的 SUDO 命令執行排行

Linux 郵件伺服器報表

• 獲取電子郵件伺服器使用情況模式的概覽，並檢視與傳送和接收的電子郵件相關的趨勢。
• 識別使用者和遠端裝置最常傳送和接收的電子郵件。
• 探索最常傳送、接收或拒絕電子郵件的網域。
• 追蹤信箱不可用、儲存區不足、錯誤的命令順序等錯誤。
• 探索最常發生的錯誤。

可用報表

已傳送電子郵件概覽 | 已接收電子郵件概覽 | 基於發件人的已傳送電子郵件排行 | 基於遠端裝置的已傳送電子郵件排行 | 從遠端裝置收到的電子郵件排行 | 發件人網域排行 | 收件人網域排行 | 已傳送電子郵件趨勢報表 | 已接收電子郵件趨勢報表 | 基於發件人的已拒絕電子郵件排行 | 拒絕電子郵件的收件人排行 | 電子郵件拒絕錯誤排行 | 被拒絕的網域排行 | 已拒絕電子郵件概覽 | 信箱不可用 | 儲存區不足 | 錯誤的命令順序 | 錯誤電子郵件地址 | 遠端不存在的電子郵件地址 | 電子郵件錯誤排行 | 基於發件人的電子郵件錯誤排行 | 電子郵件傳遞失敗

Linux 錯誤和威脅

• 探索潛在安全問題以便主動預防。
• 識別無需修正的錯誤。

可用報表

反向對應錯誤 | 錯誤的 deviceConfig 錯誤 | 錯誤的 ISP 錯誤 | 連線遠端裝置無效 | 拒絕服務攻擊

Linux NFS 事件

• 獲取所有成功和拒絕的 NFS 掛接的詳細資料。
• 識別具有最高次數的已拒絕 NFS 掛接的使用者和遠端裝置。

可用報表

成功的 NFS 掛接 | 已拒絕 NFS 掛接 | 基於使用者的已拒絕 NFS 掛接 | 基於遠端裝置的成功 NFS 掛接排行| 基於遠端裝置的已拒絕 NFS 掛接排行。

其他 Linux 事件

• 獲取有關所有 cron 工作的詳細資料。
• 識別已停用的服務。
• 檢視已連線和斷開連線的工作階段的詳細資料。
• 始終瞭解記錄過程中的任何逾時。
• 追蹤裝置名稱或位址的不匹配錯誤。

可用報表

Cron 工作 | Cron 編輯 | 已開始的 Cron 工作 | 已終止的 Cron 工作 | 由軟體中止的連線 | 接收識別字串 | 已連線工作階段 | 已斷開連線工作階段 | 已停用服務 | 不支援的通訊協定版本 | 記錄時逾時 | 更新失敗 | 裝置名稱不匹配錯誤 | 裝置位址不匹配錯誤

Linux FTP 伺服器報表

• 獲取所有檔案下載和上傳的詳細資料。
• 檢視登入、資料傳輸、空閒工作階段和連線期間發生的逾時的詳細資料。
• 識別執行最高次數 FTP 操作的使用者和遠端裝置。

可用報表

檔案下載 | 檔案上傳 | 資料傳輸區位逾時 | 登入逾時 | 工作階段空閒逾時 | 沒有傳輸逾時 | 連線逾時 | FTP 報表概覽 | 基於使用者的 FTP 操作排行 | 基於遠端裝置的 FTP 操作排行

Linux 系統事件

• 追蹤重要的系統事件，如停止和重新啟動 syslog 服務、磁碟空間不足以及 yum 命令的執行。

可用報表

已停止的 Syslog 服務 | 已重新啟動的 Syslog 服務 | 磁碟空間不足 | 系統關閉 | Yum 安裝 | Yum 更新 | Yum 解除安裝

Linux 嚴重性報表

• 檢視每個嚴重性級別（從緊急到偵錯）記錄的事件。

可用報表

緊急事件 | 警示事件 | 嚴重事件 | 錯誤事件 | 警告事件 | 注意事件 | 資訊事件 | 偵錯事件

Linux 嚴重報表

• 根據事件、裝置或導致產生的遠端裝置檢視嚴重事件。
• 提供趨勢報表以揭示嚴重事件發生的模式。

可用報表

事件的嚴重度級別 | 基於事件的嚴重報表 | 基於裝置的嚴重事件 | 基於遠端裝置的嚴重事件 | 嚴重事件趨勢 | 嚴重事件概覽