Denetim günlüklerini SYSLOG sunucusuna gönderme

14

Kullanıcı etkinliğini izlemek için 2.6 çekirdeğinde denetim işlevini kullanan birkaç RHEL tabanlı sistem çalıştırıyorum ve bu günlüklerin izleme ve olay korelasyonu için merkezi SYSLOG sunucularına gönderilmesi gerekiyor. Bunu nasıl başaracağını bilen var mı?

linux  syslog  redhat  audit 
syn
kaynak
Bir yana, RHD 5.0 ​​/ 5.1 için CIS Benchmark'ı denetlemenin daha yararlı hale getirilmesine ilişkin bazı tavsiyeler için kontrol etmenizi tavsiye ederim.
Scott Pack
@packs - Kullanışlı bir bağlantınız var mı? İlgileniyorum ..
Aaron Copley
1
@Aaron - Buradan başlayabilirsiniz cisecurity.org/en-us/?route=downloads.multiform . Kuruluşunuz üye değilse, lisansı kabul edersiniz.
Scott Pack
@packs - Teşekkürler! Bu yüzden bu kadar kolay bulamadım. (Kayıt olmalıyım.)
Aaron Copley

Yanıtlar:

10

Düzenleme: 11/17/14

Bu cevap yine de işe yarayabilir, ancak 2014 yılında Audisp eklentisini kullanmak daha iyi bir yanıttır.

Eğer hisse senedi ksyslogd syslog sunucusunu çalıştırıyorsanız bunu nasıl yapacağımı bilmiyorum. Ama onların en rsyslog ile yapıyor için büyük talimatlar vardır Wiki . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Özetleyeceğim:

  • Gönderen istemcide ( rsyslog.conf): 

    # auditd audit.log  
$ InputFileName /var/log/audit/audit.log  
$ InputFileTag tag_audit_log:  
$ InputFileStateFile audit_log  
$ InputFileSeverity bilgisi  
$ InputFileFacility local6  
$ InputRunFileMonitor

    imfileModülün daha önce rsyslog yapılandırmasında yüklenmiş olması gerektiğini unutmayın . Bundan sorumlu hat:

    $ ModLoad imfile

    Bu yüzden rsyslog.confdosyanızda olup olmadığını kontrol edin . Orada yoksa, ### MODULES ###bu modülü etkinleştirmek için bölümün altına ekleyin ; aksi takdirde, denetleme günlüğü kaydı için yukarıdaki yapılandırma çalışmaz.

  • Alıcı sunucuda ( rsyslog.conf): 

    $ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
local6. *

service rsyslog restartHer iki ana bilgisayarda da hizmeti ( ) yeniden başlatın; auditdileti almaya başlamalısınız .

Aaron Copley
kaynak
Ne yazık ki, (ancak kabul edilebilir bir nedenden dolayı) syslog, auditd ile bir çıktı seçeneği değildir, bu yüzden böyle bir şey yapmanız gerekir.
Scott Pack
Bunu ayarlayan herkes için sadece FYI, imfile yüklemek için gereken yapılandırma satırı: "$ ModLoad imfile" Modül hakkında daha fazla bilgiyi burada bulabilirsiniz: rsyslog.com/doc/imfile.html
syn-
1
Eğer bir üretim / meşgul sunucu ve günlükleri gönderme, bu bunu yapmak için etkili bir yol değildir .. imfile yoklama kullanır, böylece israf her zaman dosyayı izlemek için cpu döngüleri israf ..
Arenstar
16

En güvenli ve doğru yöntem audispd syslog eklentisini ve / veya audisp-remote kullanmaktır .

Hızlı bir şekilde çalışmasını sağlamak için /etc/audisp/plugins.d/syslog.conf dosyasını düzenleyebilirsiniz . RHEL devre dışı olsa da varsayılan olarak bunu içerir. Etkinleştirmek için yalnızca bir satırı değiştirmeniz yeterlidir, active = yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Ancak bu varsayılan olarak çok güvenli değildir; syslog, temelde, şifrelenmemiş, kimliği doğrulanmamış ve orijinal UDP spesifikasyonunda tamamen güvenilmez olan güvenli olmayan bir protokoldür. Ayrıca güvenli olmayan dosyalarda birçok bilgi depolar. Linux Denetim Sistemi, genellikle syslog'a gönderilenlerden daha hassas bilgileri işler, bu nedenle ayrılır. audisp-remote ayrıca Kerberos kimlik doğrulaması ve şifreleme sağlar, böylece güvenli bir aktarım olarak da çalışır. Audisp-remote kullanarak, merkezi syslog sunucunuzda çalışan bir audisp-remote sunucusuna audispd kullanarak denetim mesajları gönderirsiniz. Daha sonra audisp-remote, onları syslog dameonuna beslemek için audispd syslog eklentisini kullanır.

Ama başka yöntemler de var! rsyslog çok sağlam! rsyslog ayrıca Kerberos şifrelemesi ve TLS sunar. Sadece güvenli bir şekilde yapılandırıldığından emin olun.

lamawithonel
kaynak
Yerel bir rsyslog sunucusuna yönlendirme, ardından yerel rsyslog sunucusunu uzak bir toplayıcı rsyslog sunucusuna (TLS kullanarak) yönlendirmeyle ilgili herhangi bir güvenlik sorunu var mı?
2rs2ts
3

Audisp kullanarak doğrudan syslog'a giriş yapabilirsiniz, bu Denetim paketinin bir parçasıdır. Debian'da (henüz diğer dağıtımlarda denemedim) şunu düzenleyin:

/etc/audisp/plugins.d/syslog.conf

ve ayarlayın active=yes.

Diego Woitasen
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.