Linux-Audit- und Unix-Systemlogs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Audit-Daemon-Logs (auditd) und Unix-Systemlogs erfassen und den Google Security Operations-Forwarder verwenden, um Logs in Google SecOps aufzunehmen.

Die Verfahren in diesem Dokument wurden unter Debian 11.7 und Ubuntu 22.04 LTS (Jammy Jellyfish) getestet.

Logs von auditd und syslog erfassen

Sie können die Linux-Hosts so konfigurieren, dass auditd-Logs über rsyslog an einen Google SecOps-Forwarder gesendet werden.

  1. Stellen Sie den Audit-Daemon und das Audit-Dispatching-Framework mit dem folgenden Befehl bereit. Wenn Sie den Daemon und das Framework bereits bereitgestellt haben, können Sie diesen Schritt überspringen.

    apt-get install auditd audispd-plugins
    
  2. Wenn Sie die Protokollierung aller Befehle aktivieren möchten, einschließlich des Nutzers und des Root-Nutzers, fügen Sie /etc/audit/rules.d/audit.rules die folgenden Zeilen hinzu:

    -a exit,always -F arch=b64 -S execve
    -a exit,always -F arch=b32 -S execve
    
  3. Starten Sie auditd mit dem folgenden Befehl neu:

    service auditd restart
    

Google SecOps-Forwarder für auditd konfigurieren

Geben Sie im Google SecOps-Forwarder den folgenden Datentyp an:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Weitere Informationen finden Sie unter Google SecOps-Forwarder unter Linux installieren und konfigurieren.

Syslog konfigurieren

  1. Prüfen Sie, ob die Parameter in der Datei /etc/audisp/plugins.d/syslog.conf mit den folgenden Werten übereinstimmen:

    active = yes
    direction = out
    path = /sbin/audisp-syslog
    type = always
    args = LOG_LOCAL6
    format = string
    
  2. Ändern Sie die Datei /etc/rsyslog.d/50-default.conf oder erstellen Sie sie und fügen Sie am Ende der Datei die folgende Zeile hinzu:

    local6.* @@FORWARDER_IP:PORT
    

    Ersetzen Sie FORWARDER_IP und PORT durch die IP-Adresse und den Port Ihres Forwarders. In der ersten Spalte wird angegeben, welche Logs von /var/log über rsyslog gesendet werden. Das @@ in der zweiten Spalte gibt an, dass TCP zum Senden der Nachricht verwendet wird. Wenn Sie UDP verwenden möchten, verwenden Sie eine @.

  3. Wenn Sie das lokale Logging in syslog deaktivieren möchten, konfigurieren Sie rsyslog, indem Sie der Zeile, in der konfiguriert wird, was in das lokale syslog geschrieben wird, local6.none hinzufügen. Die Datei ist für jedes Betriebssystem unterschiedlich. Für Debian ist die Datei /etc/rsyslog.conf und für Ubuntu /etc/rsyslog.d/50-default.conf:

    *.*;local6.none;auth,authpriv.none              -/var/log/syslog
    
  4. Starten Sie die folgenden Dienste neu:

    service auditd restart
    service rsyslog restart
    

Unix-Systemprotokolle erfassen

  1. Erstellen oder bearbeiten Sie die Datei /etc/rsyslog.d/50-default.conf und fügen Sie am Ende der Datei die folgende Zeile hinzu:

    *.*   @@FORWARDER_IP:PORT
    

    Ersetzen Sie FORWARDER_IP und PORT durch die IP-Adresse Ihres Forwarders. In der ersten Spalte wird angegeben, welche Logs von /var/log über rsyslog gesendet werden. Das @@ in der zweiten Spalte gibt an, dass TCP zum Senden der Nachricht verwendet wird. Wenn Sie UDP verwenden möchten, verwenden Sie eine @.

  2. Führen Sie den folgenden Befehl aus, um den Daemon neu zu starten und die neue Konfiguration zu laden:

    sudo service rsyslog restart
    

Google SecOps-Forwarder für Unix-Logs konfigurieren

Geben Sie im Google SecOps-Forwarder den folgenden Datentyp an:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Weitere Informationen finden Sie unter Google SecOps-Forwarder unter Linux installieren und konfigurieren.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten