Linux-Audit- und Unix-Systemlogs erfassen
In diesem Dokument wird beschrieben, wie Sie Audit-Daemon-Logs (auditd) und Unix-Systemlogs erfassen und den Google Security Operations-Forwarder verwenden, um Logs in Google SecOps aufzunehmen.
Die Verfahren in diesem Dokument wurden unter Debian 11.7 und Ubuntu 22.04 LTS (Jammy Jellyfish) getestet.
Logs von auditd und syslog erfassen
Sie können die Linux-Hosts so konfigurieren, dass auditd-Logs über rsyslog an einen Google SecOps-Forwarder gesendet werden.
Stellen Sie den Audit-Daemon und das Audit-Dispatching-Framework mit dem folgenden Befehl bereit. Wenn Sie den Daemon und das Framework bereits bereitgestellt haben, können Sie diesen Schritt überspringen.
apt-get install auditd audispd-plugins
Wenn Sie die Protokollierung aller Befehle aktivieren möchten, einschließlich des Nutzers und des Root-Nutzers, fügen Sie
/etc/audit/rules.d/audit.rules
die folgenden Zeilen hinzu:-a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve
Starten Sie auditd mit dem folgenden Befehl neu:
service auditd restart
Google SecOps-Forwarder für auditd konfigurieren
Geben Sie im Google SecOps-Forwarder den folgenden Datentyp an:
- syslog:
common:
enabled: true
data_type: AUDITD
batch_n_seconds:
batch_n_bytes:
tcp_address:
connection_timeout_sec:
Weitere Informationen finden Sie unter Google SecOps-Forwarder unter Linux installieren und konfigurieren.
Syslog konfigurieren
Prüfen Sie, ob die Parameter in der Datei
/etc/audisp/plugins.d/syslog.conf
mit den folgenden Werten übereinstimmen:active = yes direction = out path = /sbin/audisp-syslog type = always args = LOG_LOCAL6 format = string
Ändern Sie die Datei
/etc/rsyslog.d/50-default.conf
oder erstellen Sie sie und fügen Sie am Ende der Datei die folgende Zeile hinzu:local6.* @@
FORWARDER_IP:PORT
Ersetzen Sie
FORWARDER_IP
undPORT
durch die IP-Adresse und den Port Ihres Forwarders. In der ersten Spalte wird angegeben, welche Logs von/var/log
über rsyslog gesendet werden. Das@@
in der zweiten Spalte gibt an, dass TCP zum Senden der Nachricht verwendet wird. Wenn Sie UDP verwenden möchten, verwenden Sie eine@
.Wenn Sie das lokale Logging in syslog deaktivieren möchten, konfigurieren Sie rsyslog, indem Sie der Zeile, in der konfiguriert wird, was in das lokale syslog geschrieben wird,
local6.none
hinzufügen. Die Datei ist für jedes Betriebssystem unterschiedlich. Für Debian ist die Datei/etc/rsyslog.conf
und für Ubuntu/etc/rsyslog.d/50-default.conf
:*.*;local6.none;auth,authpriv.none -/var/log/syslog
Starten Sie die folgenden Dienste neu:
service auditd restart service rsyslog restart
Unix-Systemprotokolle erfassen
Erstellen oder bearbeiten Sie die Datei
/etc/rsyslog.d/50-default.conf
und fügen Sie am Ende der Datei die folgende Zeile hinzu:*.* @@
FORWARDER_IP:PORT
Ersetzen Sie
FORWARDER_IP
undPORT
durch die IP-Adresse Ihres Forwarders. In der ersten Spalte wird angegeben, welche Logs von/var/log
über rsyslog gesendet werden. Das@@
in der zweiten Spalte gibt an, dass TCP zum Senden der Nachricht verwendet wird. Wenn Sie UDP verwenden möchten, verwenden Sie eine@
.Führen Sie den folgenden Befehl aus, um den Daemon neu zu starten und die neue Konfiguration zu laden:
sudo service rsyslog restart
Google SecOps-Forwarder für Unix-Logs konfigurieren
Geben Sie im Google SecOps-Forwarder den folgenden Datentyp an:
- syslog:
common:
enabled: true
data_type: NIX_SYSTEM
batch_n_seconds:
batch_n_bytes:
tcp_address:
connection_timeout_sec:
Weitere Informationen finden Sie unter Google SecOps-Forwarder unter Linux installieren und konfigurieren.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten