Esta página foi traduzida pela API Cloud Translation.

Recolha registos de auditoria do Linux e do sistema Unix

Compatível com:

Google secops SIEM

Este documento descreve como recolher o daemon de auditoria (auditd) e os registos do sistema Unix, e usar o encaminhador do Google Security Operations para carregar registos para o Google SecOps.

Os procedimentos neste documento foram testados no Debian 11.7 e no Ubuntu 22.04 LTS (Jammy Jellyfish).

Recolha registos do auditd e do syslog

Pode configurar os anfitriões Linux para enviar registos do auditd para um encaminhador do Google SecOps através do rsyslog.

Implemente o daemon de auditoria e a framework de envio de auditoria executando o seguinte comando. Se já implementou o daemon e a framework, pode ignorar este passo.
```
apt-get install auditd audispd-plugins
```
Para ativar o registo de todos os comandos, incluindo o utilizador e a raiz, adicione as seguintes linhas a /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Nota: se tiver ativado as deteções organizadas de ameaças do Linux do Google SecOps, certifique-se de que está a usar a configuração do auditd adequada.
Reinicie o auditd executando o seguinte comando:
```
service auditd restart
```

Configure o encaminhador do Google SecOps para o auditd

No encaminhador do Google SecOps, especifique o seguinte tipo de dados:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para mais informações, consulte o artigo Instale e configure o encaminhador do Google SecOps no Linux.

Configure o Syslog

Verifique se os parâmetros no ficheiro /etc/audisp/plugins.d/syslog.conf correspondem aos seguintes valores:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Modifique ou crie o ficheiro /etc/rsyslog.d/50-default.conf e adicione a seguinte linha no final do ficheiro:
```
local6.* @@FORWARDER_IP:PORT
```
Substitua FORWARDER_IP e PORT pelo endereço IP e pela porta do encaminhador. A primeira coluna indica que registos são enviados de /var/log através do rsyslog. O @@ na segunda coluna indica que o TCP é usado para enviar a mensagem. Para usar UDP, use um @.
Para desativar o registo local no syslog, configure o rsyslog adicionando local6.none à linha que configura o que é registado no syslog local. O ficheiro difere para cada sistema operativo. Para o Debian, o ficheiro é /etc/rsyslog.conf e, para o Ubuntu, o ficheiro é /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Reinicie os seguintes serviços:

service auditd restart
service rsyslog restart

Recolha registos de sistemas Unix

Crie ou modifique o ficheiro /etc/rsyslog.d/50-default.conf e adicione a seguinte linha no final do ficheiro:
```
*.*   @@FORWARDER_IP:PORT
```
Substitua FORWARDER_IP e PORT pelo endereço IP do encaminhador. A primeira coluna indica que registos são enviados de /var/log através do rsyslog. O @@ na segunda coluna indica que o TCP é usado para enviar a mensagem. Para usar UDP, use um @.
Execute o seguinte comando para reiniciar o daemon e carregar a nova configuração:
```
sudo service rsyslog restart
```

Configure o encaminhador do Google SecOps para registos Unix

No encaminhador do Google SecOps, especifique o seguinte tipo de dados:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para mais informações, consulte o artigo Instale e configure o encaminhador do Google SecOps no Linux.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.