Impression des rapports

La commande twprint -m r affiche le contenu d'un rapport Tripwire en texte en clair. Vous devez préciser à twprint quel rapport afficher.

Une commande twprint pour imprimer des rapports Tripwire ressemble à ce qui suit (sur une seule ligne) :

/usr/sbin/twprint -m r --twrfile
          /var/lib/tripwire/report/<nom>.twr

L'option -m r de cette commande indique à twprint de décoder un rapport Tripwire. L'option --twrfile indique à twprint d'utiliser un fichier rapport Tripwire spécifique.

Le nom du rapport Tripwire que vous voulez visualiser contient le nom de l'hôte que Tripwire a contrôlé pour générer le rapport, ainsi que la date et l'heure de sa création. Vous pouvez consulter des rapports enregistrés précédemment en tout temps. Pour cela, vous n'avez qu'à taper ls /var/lib/tripwire/report pour faire apparaître une liste de rapports Tripwire.

Les rapports Tripwire peuvent être assez longs, selon le nombre de violations trouvées ou d'erreurs générées. Voici à quoi peut ressembler le début d'un de ces rapports :

Tripwire(R) 2.3.0 Integrity Check Report

Report generated by:          root
Report created on:            Fri Jan 12 04:04:42 2001
Database last updated on:     Tue Jan  9 16:19:34 2001

=======================================================================
Report Summary:
=======================================================================
Host name:                    some.host.com
Host IP address:              10.0.0.1
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /var/lib/tripwire/some.host.com.twd
Command line used:            /usr/sbin/tripwire --check 

=======================================================================
Rule Summary: 
=======================================================================
-----------------------------------------------------------------------
Section: Unix File System
-----------------------------------------------------------------------
  Rule Name                Severity Level    Added    Removed  Modified
  ---------                --------------    -----    -------  -------- 
  Invariant Directories    69                0        0        0        
  Temporary directories    33                0        0        0        
* Tripwire Data Files      100               1        0        0        
  Critical devices         100               0        0        0        
  User binaries            69                0        0        0        
  Tripwire Binaries        100               0        0        0   

Utilisation de twprint pour visualiser la base de données de Tripwire

Vous pouvez également utiliser twprint pour visualiser la base de données complète ou certaines informations sur des fichiers de votre choix dans la base de données de Tripwire. C'est très pratique pour avoir une idée de la quantité d'informations contrôlées par Tripwire sur votre système.

Pour visualiser la base de données complète de Tripwire, entrez cette commande :

/usr/sbin/twprint -m d --print-dbfile | less

Vous obtenez ainsi une grande quantité de données et les premières lignes que vous voyez ressemblent à ceci :

Tripwire(R) 2.3.0 Database

Database generated by:        root
Database generated on:        Tue Jan  9 13:56:42 2001
Database last updated on:     Tue Jan  9 16:19:34 2001

=================================================================
Database Summary: 
=================================================================
Host name:                    some.host.com
Host IP address:              10.0.0.1
Host ID:                      None
Policy file used:             /etc/tripwire/tw.pol
Configuration file used:      /etc/tripwire/tw.cfg
Database file used:           /var/lib/tripwire/some.host.com.twd
Command line used:            /usr/sbin/tripwire --init 

=================================================================
Object Summary: 
=================================================================
-----------------------------------------------------------------
# Section: Unix File System
-----------------------------------------------------------------
     Mode        UID          Size       Modify Time
     ------      ----------   ---------- ----------
 /
     drwxr-xr-x  root (0)     XXX        XXXXXXXXXXXXXXXXX
 /bin
     drwxr-xr-x  root (0)     4096       Mon Jan  8 08:20:45 2001
 /bin/arch
     -rwxr-xr-x  root (0)     2844       Tue Dec 12 05:51:35 2000
 /bin/ash
     -rwxr-xr-x  root (0)     64860      Thu Dec  7 22:35:05 2000
 /bin/ash.static
     -rwxr-xr-x  root (0)     405576     Thu Dec  7 22:35:05 2000

Pour avoir des renseignements sur un fichier en particulier, contrôlé par Tripwire, tel que /etc/hosts, tapez une commande twprint différente :

/usr/sbin/twprint -m d --print-dbfile /etc/hosts

Voici à quoi ressemble le résultat :

Object name:  /etc/hosts

Property:               Value:                      
-------------           -----------                 
Object Type             Regular File                
Device Number           773                         
Inode Number            216991                      
Mode                    -rw-r--r--                  
Num Links               1                           
UID                     root (0)                    
GID                     root (0) 

Consultez la page de manuel twprint pour connaître d'autres options.