Unix审计和报告

Unix系统在许多组织中很流行,审核Unix系统的系统日志可以提供有关网络中事件的重要信息。此信息将帮助您决定各种管理和安全措施。审计Unix系统涉及:

  • 监视所有Unix系统登录和注销。
  • 跟踪对用户帐户和组的所有更改。
  • 在将可移动设备插入网络或从网络中拔出时,始终注意所有实例。
  • 跟踪所有sudo命令执行。
  • 监视Unix邮件和FTP服务器执行的操作,错误等。
  • 了解任何潜在的安全威胁,以便您可以先于它们。
  • 识别在每个严重性级别发生的所有事件,包括关键事件。
  • 跟踪其他一些事件,例如会话连接,NFS挂载等。

审计Unix系统使您可以完全控制网络的安全性和管理。但是,这不是那么简单。相反,您可以使用EventLog Analyzer(一种全面的syslog管理解决方案)来维护安全的Unix系统。

使用EventLog Analyzer审计Unix系统

  • 完整的Unix日志管理和审计。
  • 监视Unix进程,用户活动,邮件服务器等。
  • 专门针对Unix系统提供的100多个预定义报告,包括服务器错误,服务器使用情况和安全性报告。
  • 根据需要自定义,计划和导出报告,甚至定义自定义报告。
  • 报告以图形,列表和表格格式提供,您可以轻松地从任何报告条目中提取纯文本日志信息。
  • 接收有关您要实时跟踪的所有事件的即时电子邮件或SMS通知。
  • 相关功能提供了一种可自定义规则的设备,可以在顺序发生特定事件时提醒您。
  • 可以安全地归档日志,并且可以通过灵活的产品日志取证功能轻松地对其进行搜索。
  • 跟踪所有登录和注销,包括单独的登录方法,例如SU,SSH和FTP登录。
  • 概述和前N个报告汇总信息,并向用户和设备展示登录频率最高的状态

Unix登录和注销报告

可用报告 

用户登录| SU登录| SSH登录| FTP或SFTP登录| 登录概述| 基于用户的热门登录| 基于设备的热门登录| 基于远程设备的热门登录| 顶级Unix登录方法| 登录趋势| 用户注销| SU注销| SSH注销| FTP或SFTP注销| 注销概述

Unix登录失败报告

  • 查看所有失败登录的列表。
  • N个报告显示登录失败最频繁的用户。
  • 识别具有多个连续身份验证失败的用户。
  • 标识生成失败登录尝试次数最多的远程设备。

可用报告 

用户登录失败| SU登录失败| SSH登录失败| FTP或SFTP登录失败| 登录失败概述| 基于用户的登录失败次数最高| 基于设备的登录失败最多 基于远程设备的登录失败最多 顶级失败的登录方法| 登录趋势失败| 重复的身份验证失败| 无效的用户登录尝试| 长密码登录失败 基于远程设备的重复登录失败| 基于远程设备的重复身份验证失败

Unix用户帐户管理

  • 发现已添加,删除或重命名的所有用户帐户和组。
  • 识别失败的密码更改和新添加的用户。
  • 了解最常发生的用户帐户管理任务。

可用报告 

添加用户帐户| 删除的用户帐户| 重命名的用户帐户| 群组已添加| 群组已删除| 群组更名| 密码更改| 密码更改失败| 用户添加失败| 热门Unix帐户管理事件

Unix可移动磁盘审核

  • 审核Unix系统上可移动设备的使用。
  • 了解每次将可移动设备插入网络或从网络中拔出时的详细信息。

可用报告 

已插入USB | USB已取出

SUDO命令

  • 查看所有成功和失败的sudo命令执行的详细信息。
  • 确定最常尝试的sudo命令。

可用报告 

SUDO命令执行| SUDO命令执行失败| 顶级SUDO命令执行| 失败的SUDO命令执行次数最多

Unix邮件服务器报告

  • 获得电子邮件服务器使用模式的概述,并查看与发送和接收的电子邮件相关的趋势。
  • 标识发送和接收最多电子邮件的用户和远程设备。
  • 发现发送,接收或拒绝最多电子邮件的域。
  • 跟踪错误,例如邮箱不可用,存储空间不足,命令顺序错误等等。
  • 发现最常发生的错误。

可用报告 

电子邮件已发送概述| 收到的电子邮件概述| 根据发件人发送的热门电子邮件| 根据远程设备发送的热门电子邮件| 从远程设备收到的热门电子邮件| 最高发件人域名| 顶级收件人域| 已发送电子邮件的趋势报告| 收到的电子邮件趋势报告| 根据发件人拒绝的热门电子邮件| 拒绝电子邮件的最佳收件人| 热门电子邮件拒绝错误| 顶级拒绝域名| 电子邮件被拒绝概述| 邮箱不可用| 存储空间不足| 命令顺序错误| 电子邮件地址错误| 远端不存在的电子邮件地址| 热门电子邮件错误| 根据发件人的主要电子邮件错误| 电子邮件发送失败

Unix错误和威胁

  • 发现潜在的安全问题,以便您主动预防它们。
  • 确定不需要更正的错误。

可用报告 

反向查询错误| 严重的deviceConfig错误| 错误的ISP错误| 无效的连接远程设备| 拒绝服务攻击

Unix NFS事件

  • 获取所有成功和拒绝的NFS挂载的详细信息。
  • 确定被拒绝的NFS挂载数量最多的用户和远程设备。

可用报告 

成功的NFS挂载| 拒绝的NFS支架| 基于用户的NFS挂载| 基于远程设备的成功成功的NFS挂载 拒绝最多的基于远程设备的NFS挂载。

Unix其他事件

  • 识别已停用的服务。
  • 查看已连接和断开连接的会话的详细信息。
  • 在记录过程中注意任何超时。
  • 跟踪设备名称或地址中不匹配的错误。

可用报告 

连接被软件中止| 接收标识字符串 会话已连接| 会话已断开 停用服务| 不受支持的协议版本| 记录时超时| 更新失败| deviceName不匹配错误| deviceAddress不匹配错误

Unix FTP服务器报告

  • 获取所有文件下载和上传的详细信息。
  • 查看有关登录,数据传输,空闲会话和连接期间发生的超时的详细信息。
  • 确定执行最多FTP操作数量的用户和远程设备。

可用报告 

文件下载| 文件上传| 数据传输停顿超时| 登录超时| 会话空闲超时| 没有传输超时| 连接超时| FTP报告概述| 基于用户的热门FTP操作| 基于远程设备的热门FTP操作

Unix系统事件

  • 跟踪重要的系统事件,例如停止和重新启动syslog服务,磁盘空间不足以及yum命令的执行。

可用报告 

Syslog服务已停止 Syslog服务重新启动| 磁盘空间不足| 系统关闭 百胜安装| 百胜更新| Yum卸载

Unix严重性报告

  • 查看从紧急状态到调试的每个严重性级别记录的事件。

可用报告 

紧急事件| 警报事件| 重大事件| 错误事件| 警告事件| 通知事件| 信息活动| 调试事件

Unix关键报告

  • 根据事件,设备或负责生成的远程设备查看关键事件。
  • 提供趋势报告以发现关键事件发生时的模式。

可用报告 

事件的严重程度| 基于事件的重要报告| 基于设备的严重事件 基于远程设备的严重事件 重大事件趋势| 关键事件概述