Linux-Audit- und Unix-Systemlogs erfassen
In diesem Dokument wird beschrieben, wie Sie Audit-Daemon-Logs (auditd) und Unix-Systemlogs erfassen und den Google Security Operations-Forwarder verwenden, um Logs in Google SecOps aufzunehmen.
Die Verfahren in diesem Dokument wurden unter Debian 11.7 und Ubuntu 22.04 LTS (Jammy Jellyfish) getestet.
Logs von auditd und syslog erfassen
Sie können die Linux-Hosts so konfigurieren, dass auditd-Logs über rsyslog an einen Google SecOps-Forwarder gesendet werden.
Stellen Sie den Audit-Daemon und das Audit-Dispatching-Framework mit dem folgenden Befehl bereit. Wenn Sie den Daemon und das Framework bereits bereitgestellt haben, können Sie diesen Schritt überspringen.
apt-get install auditd audispd-pluginsWenn Sie die Protokollierung aller Befehle aktivieren möchten, einschließlich des Nutzers und des Root-Nutzers, fügen Sie
/etc/audit/rules.d/audit.rulesdie folgenden Zeilen hinzu:-a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execveStarten Sie auditd mit dem folgenden Befehl neu:
service auditd restart
Google SecOps-Forwarder für auditd konfigurieren
Geben Sie im Google SecOps-Forwarder den folgenden Datentyp an:
- syslog:
common:
enabled: true
data_type: AUDITD
batch_n_seconds:
batch_n_bytes:
tcp_address:
connection_timeout_sec:
Weitere Informationen finden Sie unter Google SecOps-Forwarder unter Linux installieren und konfigurieren.
Syslog konfigurieren
Prüfen Sie, ob die Parameter in der Datei
/etc/audisp/plugins.d/syslog.confmit den folgenden Werten übereinstimmen:active = yes direction = out path = /sbin/audisp-syslog type = always args = LOG_LOCAL6 format = stringÄndern Sie die Datei
/etc/rsyslog.d/50-default.confoder erstellen Sie sie und fügen Sie am Ende der Datei die folgende Zeile hinzu:local6.* @@
FORWARDER_IP:PORTErsetzen Sie
FORWARDER_IPundPORTdurch die IP-Adresse und den Port Ihres Forwarders. In der ersten Spalte wird angegeben, welche Logs von/var/logüber rsyslog gesendet werden. Das@@in der zweiten Spalte gibt an, dass TCP zum Senden der Nachricht verwendet wird. Wenn Sie UDP verwenden möchten, verwenden Sie eine@.Wenn Sie das lokale Logging in syslog deaktivieren möchten, konfigurieren Sie rsyslog, indem Sie der Zeile, in der konfiguriert wird, was in das lokale syslog geschrieben wird,
local6.nonehinzufügen. Die Datei ist für jedes Betriebssystem unterschiedlich. Für Debian ist die Datei/etc/rsyslog.confund für Ubuntu/etc/rsyslog.d/50-default.conf:*.*;local6.none;auth,authpriv.none -/var/log/syslogStarten Sie die folgenden Dienste neu:
service auditd restart service rsyslog restart
Unix-Systemprotokolle erfassen
Erstellen oder bearbeiten Sie die Datei
/etc/rsyslog.d/50-default.confund fügen Sie am Ende der Datei die folgende Zeile hinzu:*.* @@
FORWARDER_IP:PORTErsetzen Sie
FORWARDER_IPundPORTdurch die IP-Adresse Ihres Forwarders. In der ersten Spalte wird angegeben, welche Logs von/var/logüber rsyslog gesendet werden. Das@@in der zweiten Spalte gibt an, dass TCP zum Senden der Nachricht verwendet wird. Wenn Sie UDP verwenden möchten, verwenden Sie eine@.Führen Sie den folgenden Befehl aus, um den Daemon neu zu starten und die neue Konfiguration zu laden:
sudo service rsyslog restart
Google SecOps-Forwarder für Unix-Logs konfigurieren
Geben Sie im Google SecOps-Forwarder den folgenden Datentyp an:
- syslog:
common:
enabled: true
data_type: NIX_SYSTEM
batch_n_seconds:
batch_n_bytes:
tcp_address:
connection_timeout_sec:
Weitere Informationen finden Sie unter Google SecOps-Forwarder unter Linux installieren und konfigurieren.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten