收集 Linux auditd 和 Unix 系统日志
本文档介绍了如何收集审核守护程序 (auditd) 和 Unix 系统日志,以及如何使用 Google Security Operations 转发器将日志注入到 Google SecOps。
本文档中的流程已在 Debian 11.7 和 Ubuntu 22.04 LTS (Jammy Jellyfish) 上进行了测试。
从 auditd 和 syslog 收集日志
您可以使用 rsyslog 将 Linux 主机配置为将 auditd 日志发送到 Google SecOps 转发器。
通过运行以下命令来部署审核守护程序和审核调度框架。 如果您已部署守护程序和框架,则可以跳过此步骤。
apt-get install auditd audispd-plugins如需启用所有命令(包括用户和 root)的日志记录,请将以下行添加到
/etc/audit/rules.d/audit.rules:-a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve运行以下命令以重启 auditd:
service auditd restart
为 auditd 配置 Google SecOps 转发器
在 Google SecOps 转发器上,指定以下数据类型:
- syslog:
common:
enabled: true
data_type: AUDITD
batch_n_seconds:
batch_n_bytes:
tcp_address:
connection_timeout_sec:
如需了解详情,请参阅在 Linux 上安装和配置 Google SecOps 转发器。
配置 syslog
验证
/etc/audisp/plugins.d/syslog.conf文件中的参数是否与以下值匹配:active = yes direction = out path = /sbin/audisp-syslog type = always args = LOG_LOCAL6 format = string修改或创建
/etc/rsyslog.d/50-default.conf文件,并在文件末尾添加以下行:local6.* @@
FORWARDER_IP:PORT将
FORWARDER_IP和PORT替换为转发器的 IP 地址和端口。第一列表示通过 rsyslog 从/var/log发送哪些日志。第二列中的@@表示使用 TCP 发送消息。如需使用 UDP,请使用@。如需停用向 syslog 进行本地日志记录,请通过在配置本地 syslog 日志记录内容的行中添加
local6.none来配置 rsyslog。每个操作系统的文件各不相同。对于 Debian,该文件为/etc/rsyslog.conf;对于 Ubuntu,该文件为/etc/rsyslog.d/50-default.conf:*.*;local6.none;auth,authpriv.none -/var/log/syslog重启以下服务:
service auditd restart service rsyslog restart
收集 Unix 系统日志
创建或修改
/etc/rsyslog.d/50-default.conf文件,并在文件末尾添加以下行:*.* @@
FORWARDER_IP:PORT将
FORWARDER_IP和PORT替换为转发器的 IP 地址。 第一列表示哪些日志是通过 rsyslog 从/var/log发送的。第二列中的@@表示使用 TCP 发送消息。如需使用 UDP,请使用@。运行以下命令以重启守护程序并加载新配置:
sudo service rsyslog restart
为 Unix 日志配置 Google SecOps 转发器
在 Google SecOps 转发器上,指定以下数据类型:
- syslog:
common:
enabled: true
data_type: NIX_SYSTEM
batch_n_seconds:
batch_n_bytes:
tcp_address:
connection_timeout_sec:
如需了解详情,请参阅在 Linux 上安装和配置 Google SecOps 转发器。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。