Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux d'audit Linux et les journaux système Unix

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux du daemon d'audit (auditd) et du système Unix, et comment utiliser le transmetteur Google Security Operations pour ingérer les journaux dans Google SecOps.

Les procédures décrites dans ce document ont été testées sur Debian 11.7 et Ubuntu 22.04 LTS (Jammy Jellyfish).

Collecter les journaux d'auditd et de syslog

Vous pouvez configurer les hôtes Linux pour qu'ils envoient les journaux auditd à un transmetteur Google SecOps à l'aide de rsyslog.

Déployez le daemon d'audit et le framework de répartition des audits en exécutant la commande suivante. Si vous avez déjà déployé le démon et le framework, vous pouvez ignorer cette étape.
```
apt-get install auditd audispd-plugins
```
Pour activer la journalisation de toutes les commandes, y compris celles de l'utilisateur et de la racine, ajoutez les lignes suivantes à /etc/audit/rules.d/audit.rules :
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Remarque : Si vous avez activé les détections sélectionnées des menaces Linux dans Google SecOps, assurez-vous d'utiliser la configuration auditd appropriée.
Redémarrez auditd en exécutant la commande suivante :
```
service auditd restart
```

Configurer le transmetteur Google SecOps pour auditd

Sur le transmetteur Google SecOps, spécifiez le type de données suivant :

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Pour en savoir plus, consultez Installer et configurer le redirecteur Google SecOps sur Linux.

Configurer syslog

Vérifiez que les paramètres du fichier /etc/audisp/plugins.d/syslog.conf correspondent aux valeurs suivantes :

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Modifiez ou créez le fichier /etc/rsyslog.d/50-default.conf, puis ajoutez la ligne suivante à la fin du fichier :
```
local6.* @@FORWARDER_IP:PORT
```
Remplacez FORWARDER_IP et PORT par l'adresse IP et le port de votre transmetteur. La première colonne indique les journaux envoyés depuis /var/log via rsyslog. Le @@ de la deuxième colonne indique que le protocole TCP est utilisé pour envoyer le message. Pour utiliser UDP, utilisez @.
Pour désactiver la journalisation locale dans syslog, configurez rsyslog en ajoutant local6.none à la ligne qui configure ce qui est enregistré dans syslog local. Le fichier diffère pour chaque OS. Pour Debian, le fichier est /etc/rsyslog.conf, et pour Ubuntu, il s'agit de /etc/rsyslog.d/50-default.conf :
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Redémarrez les services suivants :

service auditd restart
service rsyslog restart

Collecter les journaux des systèmes Unix

Créez ou modifiez le fichier /etc/rsyslog.d/50-default.conf et ajoutez la ligne suivante à la fin du fichier :
```
*.*   @@FORWARDER_IP:PORT
```
Remplacez FORWARDER_IP et PORT par l'adresse IP de votre redirecteur. La première colonne indique les journaux envoyés depuis /var/log via rsyslog. Le @@ de la deuxième colonne indique que le protocole TCP est utilisé pour envoyer le message. Pour utiliser UDP, utilisez @.
Exécutez la commande suivante pour redémarrer le daemon et charger la nouvelle configuration :
```
sudo service rsyslog restart
```

Configurer le redirecteur Google SecOps pour les journaux Unix

Sur le transmetteur Google SecOps, spécifiez le type de données suivant :

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Pour en savoir plus, consultez Installer et configurer le redirecteur Google SecOps sur Linux.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.