私は、2.6カーネル内の監査機能を利用してユーザーアクティビティを追跡するRHELベースのシステムをいくつか実行しています。これらのログを中央のSYSLOGサーバーに送信して、監視とイベントの関連付けを行う必要があります。誰でもこれを達成する方法を知っていますか?
編集:11/17/14
この答えはまだ機能する可能性がありますが、2014年には Audispプラグインを使用 がより良い答えです。
ストックksyslogd syslogサーバーを実行している場合、これを行う方法がわかりません。しかし、 Wiki にrsyslogを使用して実行するための優れた手順があります。 ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )
要約します:
送信クライアント(rsyslog.conf
):
#
auditd audit.log
$ InputFileName /var/log/audit/audit.log
$ InputFileTag tag_audit_log:
$ InputFileStateFile audit_log
$ InputFileSeverity info
$ InputFileFacility local6
$ InputRunFileMonitor
imfile
モジュールは、以前にrsyslog構成にロードされている必要があることに注意してください。これはそれを担当する行です:
$ ModLoad imfile
rsyslog.conf
ファイルにあるかどうかを確認してください。ない場合は、### MODULES ###
セクションの下に追加して、このモジュールを有効にします。そうでない場合、上記のauditdロギングの構成は機能しません。
受信サーバー(rsyslog.conf
):
$ template HostAudit、 "/ var/log/rsyslog /%HOSTNAME%/ audit_log" local6。*
両方のホストでサービス(service rsyslog restart
)を再起動すると、auditd
メッセージの受信が開始されます。
最も安全で正しい方法は、audispd syslog plugin または audisp-remote を使用することです。
すぐに機能させるには/etc/audisp/plugins.d/syslog.confを編集します。 RHELにはこれがデフォルトで含まれていますが、無効になっています。有効にするには、1行変更するだけですactive = yes。
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
しかし、これはデフォルトではあまり安全ではありません。 Syslogは、暗号化も認証もされておらず、元のUDP仕様では完全に信頼できない、安全性の低いプロトコルです。また、安全でないファイルに多くの情報を保存します。 Linux監査システムは、通常syslogに送信されるよりも機密性の高い情報を処理するため、分離されています。 audisp-remoteはKerberos認証と暗号化も提供するため、安全なトランスポートとして適切に機能します。 audisp-remoteを使用すると、中央のsyslogサーバーで実行されているaudisp-remoteサーバーにaudispdを使用して監査メッセージを送信します。次に、audisp-remoteはaudispd syslogプラグインを使用してそれらをsyslog dameonにフィードします。
しかし、他の方法があります! rsyslogは非常に堅牢です! rsyslogは、Kerberos暗号化とTLSも提供します。安全に設定されていることを確認してください。
監査パッケージの一部であるaudispを使用して、syslogに直接ログを記録できます。 Debianでは(私はまだ他のディストリビューションで試したことはありません)、以下を編集します。
/etc/audisp/plugins.d/syslog.conf
そしてactive=yes
。