Comandos prácticos de Open-AudIT

Revisar la Base de Datos

La Base de Datos debe estar actualizada para no causar ningún conflicto con los datos almacenados y con la conexión entre la aplicación y la BD. 

Ingresar al siguiente Link

http://IP_ADDRESS/open-audit/index.php/database/update_form

En la siguiente imagen se observa un servidor con OA donde la Base de Datos se encuentra actualizada


Verificar el usuario y contraseña de la BD

El siguiente archivo database.php debe tener el usuario y contraseña correcta. 

El archivo se encuentra en la siguiente ruta. 

Usuario: root 

contraseña: openauditrootuserpassword


vi /usr/local/open-audit/code_igniter/application/config/database.php


Entrar a MySQLy verificar que contenga la BD openaudit


mysql -h localhost -u root -p
contraseña: openauditrootuserpassword
show databases; #debe contener la BD nombrada openaudit
show tables:
describe users;

Ejecutar un script en Windows 

ir a Discover→ Audit Scripts→ List Audit Scripts 



Descargar el archivo audit_windows.vbs 



Para ver detalladamente el procedo para ejecutar un script consulta el siguiente link /wiki/spaces/NMISES/pages/3164897789 en el apartado de "Hacer un descubrimiento mediante un Script".

Al bajar el script en las máquinas recuerda cambiar la siguiente línea del script para que se vea como el siguiente ejemplo:

url="http://TUMAQUINAOAE/open-audit/index.php/input/devices"
Ejemplo:



El comando para ejecutar el script localmente sería el siguiente:

cscript c:\ruta\a\audit_windows.vbs submit_online=y create_file=n


Salidas de OA para analizar información

El siguiente comando muestra la lista de acciones disponibles.


smbclient -L \\\\ 128.84.4.132 -U CCUCL / administrador% cqcc1pduA

user@desktop: /usr/local/$ smbclient -L \\\\ 192.168.88.73 -U
 administradorIngrese GRUPO DE TRABAJO \ contraseña del administrador:
 Nombre de recurso compartido Escriba Comentario
 --------- ---- ---- —
 ADMIN $ Disco Administrador remoto
 C $ Disco compartido predeterminado
 E $ Disco compartido predeterminado
 IPC $ IPC 

Si lo anterior falla, intentar con el siguiente comando, especificando una versión mínima de SMB.

smbclient -L \\\\ 128.84.4.132 -U CCUCL / administrador% cqcc1pduA -m SMB3  

Salida de soporte de OA 

Para ejecutar la salidas de soporte de OA consulta el siguiente Link Salida de OAE

Revisar firewall de Windows

Para permitir que las PC remotas sean auditadas, el firewall local (en las máquinas de destino) (probablemente el Firewall de Windows) debe estar deshabilitado o se debe permitir el acceso al servicio WMI.

Para Windows Vista, 7, 8, 2008 y 2012, ingrese los siguientes comandos:


netsh firewall set service type=remoteadmin mode=enable
netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes
netsh advfirewall firewall set rule group="remote administration" new enable=yes
netsh advfirewall firewall set rule name="File and Printer Sharing (Echo Request - ICMPv4-In)" new enable=yes