Надсилання журналів аудиту на сервер SYSLOG

13

Я запускаю кілька систем на основі RHEL, які використовують функцію аудиту в ядрі 2.6 для відстеження активності користувачів, і мені потрібно, щоб ці журнали надсилалися на централізовані сервери SYSLOG для моніторингу та кореляції подій. Хтось знає, як цього досягти?

linux  syslog  redhat  audit 
син-
джерело
Як осторонь, я рекомендую ознайомитись із еталоном СНД для RHEL 5.0 / 5.1, щоб отримати поради щодо того, як зробити аудит кориснішим.
Скотт Пак
@packs - Чи є у вас зручне посилання? Мені цікаво ..
Аарон Коплі
1
@Aaron - Ви можете почати тут cisecurity.org/en-us/?route=downloads.multiform . Якщо ваша організація не є членом, ви приймаєте ліцензію.
Скотт Пак
@packs - Дякую! Тому я не міг знайти це так легко. (Мені доведеться зареєструватися.)
Аарон Коплі

Відповіді:

9

Редагувати: 17.11.14

Ця відповідь може все-таки спрацювати, але у 2014 році найкраще використовувати плагін Audisp .

Якщо ви використовуєте сервер sslog запасів ksyslogd, я не знаю, як це зробити. Але є чудові вказівки, як це робити з rsyslog на їхній Wiki . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Підсумую:

  • На відправника клієнта ( rsyslog.conf): 

    # auditd audit.log  
$ InputFileName /var/log/audit/audit.log  
$ InputFileTag tag_audit_log:  
$ InputFileStateFile audit_log  
$ InputFileSeverity інформація  
$ InputFileFacility local6  
$ InputRunFileMonitor

    Зауважте, що imfileмодуль потрібно буде попередньо завантажити в конфігурацію rsyslog. Це лінія, відповідальна за це:

    Імфіляція $ ModLoad

    Тому перевірте, чи є у вашому rsyslog.confфайлі. Якщо його немає, додайте його під ### MODULES ###розділом, щоб увімкнути цей модуль; в іншому випадку вищевказана конфігурація для аудиту ведення журналу не працюватиме.

  • На сервері прийому ( rsyslog.conf): 

    $ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
місцевий6. *

Перезапустіть послугу ( service rsyslog restart) на обох хостах, і ви повинні почати отримувати auditdповідомлення.

Аарон Коплі
джерело
На жаль, (але з прийнятної причини) syslog не є вихідним варіантом з аудитом, тому вам доведеться зробити це щось подібне.
Скотт Пак
Просто FYI для тих , хто ще встановлювати це вгору, конфиг лінії , необхідні для завантаження imfile є: «$ MODLOAD imfile» Більш детальну інформацію про модуль можна знайти тут: rsyslog.com/doc/imfile.html
син
1
Якщо ви працюєте на виробничому / зайнятому сервері та надсилаєте журнали, це не є ефективним способом цього. Імфіляція використовує опитування, завдяки чому ваш витрачаючий процесор завжди циклічно переглядає файл ..
Arenstar
14

Найбільш безпечний і правильний метод - використовувати плагін audispd syslog та / або audisp-remote .

Щоб швидко працювати, ви можете відредагувати /etc/audisp/plugins.d/syslog.conf . RHEL включає це за замовчуванням, хоча він відключений. Вам потрібно змінити лише один рядок, щоб увімкнути його, active = так .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Але це не дуже безпечно за замовчуванням; syslog - це незахищений протокол на його основі, незашифрований, неаутентифікований та в його оригінальній специфікації UDP, повністю ненадійний. Він також зберігає багато інформації в незахищених файлах. Система аудиту Linux обробляє більш чутливу інформацію, ніж зазвичай надсилається в syslog, отже, це розділення. audisp-remote також забезпечує аутентифікацію та шифрування Kerberos, тому він добре працює як безпечний транспорт. Використовуючи audisp-remote, ви відправлятимете повідомлення аудиту за допомогою audispd на віддалений сервер audisp, який працює на вашому центральному сервері syslog. Потім Audisp-віддалений використовує плагін audispd syslog, щоб подати їх у dyson syslog.

Але є й інші методи! rsyslog дуже міцний! rsyslog також пропонує шифрування Kerberos, плюс TLS. Просто переконайтесь, що він налаштований надійно.

ламавітонел
джерело
Чи є проблеми з безпекою щодо перенаправлення аудісп на локальний сервер rsyslog, а потім перенесення локального сервера rsyslog на віддалений сервер rsyslog агрегатора (використовуючи TLS?)
2rs2ts
3

Ви можете увійти безпосередньо в syslog, використовуючи audisp, це частина пакету Audit. У Debian (я ще не пробував в інших дистрибутивах) редагуйте:

/etc/audisp/plugins.d/syslog.conf

і встановити active=yes.

Дієго Войтасен
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.