Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log sistem Unix dan auditd Linux

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log sistem Unix dan daemon audit (auditd), serta menggunakan forwarder Google Security Operations untuk menyerap log ke Google SecOps.

Prosedur dalam dokumen ini telah diuji di Debian 11.7 dan Ubuntu 22.04 LTS (Jammy Jellyfish).

Mengumpulkan log dari auditd dan syslog

Anda dapat mengonfigurasi host Linux untuk mengirimkan log auditd ke penerus Google SecOps menggunakan rsyslog.

Deploy daemon audit dan framework pengiriman audit dengan menjalankan perintah berikut. Jika Anda telah men-deploy daemon dan framework, Anda dapat melewati langkah ini.
```
apt-get install auditd audispd-plugins
```
Untuk mengaktifkan logging semua perintah, yang mencakup pengguna dan root, tambahkan baris berikut ke /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Catatan: Jika Anda telah mengaktifkan Deteksi yang dikurasi untuk Ancaman Linux Google SecOps, pastikan Anda menggunakan konfigurasi auditd yang sesuai.
Mulai ulang auditd dengan menjalankan perintah berikut:
```
service auditd restart
```

Mengonfigurasi penerus Google SecOps untuk auditd

Di penerus Google SecOps, tentukan jenis data berikut:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Untuk mengetahui informasi selengkapnya, lihat Menginstal dan mengonfigurasi penerus Google SecOps di Linux.

Mengonfigurasi syslog

Pastikan parameter dalam file /etc/audisp/plugins.d/syslog.conf cocok dengan nilai berikut:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Ubah atau buat file /etc/rsyslog.d/50-default.conf, lalu tambahkan baris berikut di akhir file:
```
local6.* @@FORWARDER_IP:PORT
```
Ganti FORWARDER_IP dan PORT dengan alamat IP dan port penerusan Anda. Kolom pertama menunjukkan log mana yang dikirim dari /var/log melalui rsyslog. @@ di kolom kedua menunjukkan bahwa TCP digunakan untuk mengirim pesan. Untuk menggunakan UDP, gunakan satu @.
Untuk menonaktifkan logging lokal ke syslog, konfigurasikan rsyslog dengan menambahkan local6.none ke baris yang mengonfigurasi apa yang dicatat ke syslog lokal. File berbeda untuk setiap OS. Untuk Debian, filenya adalah /etc/rsyslog.conf, dan untuk Ubuntu, filenya adalah /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Mulai ulang layanan berikut:

service auditd restart
service rsyslog restart

Mengumpulkan log sistem Unix

Buat atau ubah file /etc/rsyslog.d/50-default.conf, lalu tambahkan baris berikut di akhir file:
```
*.*   @@FORWARDER_IP:PORT
```
Ganti FORWARDER_IP dan PORT dengan alamat IP penerus Anda. Kolom pertama menunjukkan log mana yang dikirim dari /var/log melalui rsyslog. @@ di kolom kedua menunjukkan bahwa TCP digunakan untuk mengirim pesan. Untuk menggunakan UDP, gunakan satu @.
Jalankan perintah berikut untuk memulai ulang daemon dan memuat konfigurasi baru:
```
sudo service rsyslog restart
```

Mengonfigurasi penerusan Google SecOps untuk log Unix

Di penerus Google SecOps, tentukan jenis data berikut:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Untuk mengetahui informasi selengkapnya, lihat Menginstal dan mengonfigurasi penerus Google SecOps di Linux.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.