web-dev-qa-db-ja.com

SYSLOGサーバーへの監査ログの送信

私は、2.6カーネル内の監査機能を利用してユーザーアクティビティを追跡するRHELベースのシステムをいくつか実行しています。これらのログを中央のSYSLOGサーバーに送信して、監視とイベントの関連付けを行う必要があります。誰でもこれを達成する方法を知っていますか?

14
syn-

編集:11/17/14

この答えはまだ機能する可能性がありますが、2014年には Audispプラグインを使用 がより良い答えです。


ストックksyslogd syslogサーバーを実行している場合、これを行う方法がわかりません。しかし、 Wiki にrsyslogを使用して実行するための優れた手順があります。 ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log

要約します:

  • 送信クライアント(rsyslog.conf):

    # auditd audit.log 
     $ InputFileName /var/log/audit/audit.log 
     $ InputFileTag tag_audit_log:
     $ InputFileStateFile audit_log 
     $ InputFileSeverity info 
     $ InputFileFacility local6 
     $ InputRunFileMonitor 
    

    imfileモジュールは、以前にrsyslog構成にロードされている必要があることに注意してください。これはそれを担当する行です:

    $ ModLoad imfile

    rsyslog.confファイルにあるかどうかを確認してください。ない場合は、### MODULES ###セクションの下に追加して、このモジュールを有効にします。そうでない場合、上記のauditdロギングの構成は機能しません。

  • 受信サーバー(rsyslog.conf):

     $ template HostAudit、 "/ var/log/rsyslog /%HOSTNAME%/ audit_log" 
     local6。* 
    

両方のホストでサービス(service rsyslog restart)を再起動すると、auditdメッセージの受信が開始されます。

10
Aaron Copley

最も安全で正しい方法は、audispd syslog plugin または audisp-remote を使用することです。

すぐに機能させるには/etc/audisp/plugins.d/syslog.confを編集します。 RHELにはこれがデフォルトで含まれていますが、無効になっています。有効にするには、1行変更するだけですactive = yes

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

しかし、これはデフォルトではあまり安全ではありません。 Syslogは、暗号化も認証もされておらず、元のUDP仕様では完全に信頼できない、安全性の低いプロトコルです。また、安全でないファイルに多くの情報を保存します。 Linux監査システムは、通常syslogに送信されるよりも機密性の高い情報を処理するため、分離されています。 audisp-remoteはKerberos認証と暗号化も提供するため、安全なトランスポートとして適切に機能します。 audisp-remoteを使用すると、中央のsyslogサーバーで実行されているaudisp-remoteサーバーにaudispdを使用して監査メッセージを送信します。次に、audisp-remoteはaudispd syslogプラグインを使用してそれらをsyslog dameonにフィードします。

しかし、他の方法があります! rsyslogは非常に堅牢です! rsyslogは、Kerberos暗号化とTLSも提供します。安全に設定されていることを確認してください。

16
lamawithonel

監査パッケージの一部であるaudispを使用して、syslogに直接ログを記録できます。 Debianでは(私はまだ他のディストリビューションで試したことはありません)、以下を編集します。

/etc/audisp/plugins.d/syslog.conf

そしてactive=yes

3
Diego Woitasen