Esta página se ha traducido con Cloud Translation API.

Recopilar registros de auditd de Linux y del sistema Unix

Disponible en:

SecOps de Google SIEM

En este documento se describe cómo recoger registros del sistema Unix y del daemon de auditoría (auditd), así como usar el reenviador de Google Security Operations para ingerir registros en Google SecOps.

Los procedimientos de este documento se han probado en Debian 11.7 y Ubuntu 22.04 LTS (Jammy Jellyfish).

Recoger registros de auditd y syslog

Puede configurar los hosts de Linux para que envíen registros de auditd a un reenviador de Google SecOps mediante rsyslog.

Implementa el daemon de auditoría y el framework de envío de auditorías ejecutando el siguiente comando. Si ya ha implementado el daemon y el framework, puede saltarse este paso.
```
apt-get install auditd audispd-plugins
```
Para habilitar el registro de todos los comandos, incluidos los del usuario y los de la raíz, añade las siguientes líneas a /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Nota: Si has habilitado las detecciones seleccionadas de amenazas de Linux de Google SecOps, asegúrate de que estás usando la configuración de auditd adecuada.
Reinicia auditd ejecutando el siguiente comando:
```
service auditd restart
```

Configurar el reenviador de Google SecOps para auditd

En el reenviador de Google SecOps, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Instalar y configurar el reenviador de Google SecOps en Linux.

Configurar syslog

Verifique que los parámetros del archivo /etc/audisp/plugins.d/syslog.conf coincidan con los siguientes valores:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Modifica o crea el archivo /etc/rsyslog.d/50-default.conf y añade la siguiente línea al final del archivo:
```
local6.* @@FORWARDER_IP:PORT
```
Sustituye FORWARDER_IP y PORT por la dirección IP y el puerto de tu reenviador. La primera columna indica qué registros se envían desde /var/log a través de rsyslog. El @@ de la segunda columna indica que se usa TCP para enviar el mensaje. Para usar UDP, usa uno de los @.
Para inhabilitar el registro local en syslog, configura rsyslog añadiendo local6.none a la línea que configura lo que se registra en syslog local. El archivo varía en función del sistema operativo. En Debian, el archivo es /etc/rsyslog.conf y, en Ubuntu, es /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Reinicia los siguientes servicios:

service auditd restart
service rsyslog restart

Recoger registros de sistemas Unix

Crea o modifica el archivo /etc/rsyslog.d/50-default.conf y añade la siguiente línea al final del archivo:
```
*.*   @@FORWARDER_IP:PORT
```
Sustituye FORWARDER_IP y PORT por la dirección IP de tu reenviador. La primera columna indica qué registros se envían desde /var/log a través de rsyslog. El @@ de la segunda columna indica que se usa TCP para enviar el mensaje. Para usar UDP, usa uno de los @.
Ejecuta el siguiente comando para reiniciar el daemon y cargar la nueva configuración:
```
sudo service rsyslog restart
```

Configurar el reenviador de Google SecOps para registros de Unix

En el reenviador de Google SecOps, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Instalar y configurar el reenviador de Google SecOps en Linux.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.