Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogli log di sistema Linux controllati e Unix

Supportato in:

Google SecOps SIEM

Questo documento descrive come raccogliere i log di sistema di Unix e del daemon di controllo (auditd) e come utilizzare il forwarder Google SecOps per importare i log in Google SecOps.

Le procedure descritte in questo documento sono state testate su Debian 11.7 e Ubuntu 22.04 LTS (Jammy Jellyfish).

Raccogliere i log da auditd e syslog

Puoi configurare gli host Linux per inviare log controllati a Google SecOps per l'inoltro utilizzando rsyslog.

Esegui il deployment del daemon di audit e del framework di invio degli audit eseguendo questo comando. Se hai già eseguito il deployment del daemon e del framework, puoi saltare questo passaggio.
```
apt-get install auditd audispd-plugins
```
Per abilitare il logging di tutti i comandi, che includono utente e root, aggiungi quanto segue linee per /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Nota: se hai attivato i rivelazioni selezionate per le minacce Linux di Google SecOps, assicurati di utilizzare la configurazione di auditd appropriata.
Riavvio controllato eseguendo questo comando:
```
service auditd restart
```

Configurare il forwarder di Google SecOps per auditd

Nel forwarding di Google SecOps, specifica il seguente tipo di dati:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Per ulteriori informazioni, vedi Installare e configurare il forwarder Google SecOps su Linux.

Configura syslog

Verifica che i parametri nel file /etc/audisp/plugins.d/syslog.conf corrispondano ai seguenti valori:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Modifica o crea il file /etc/rsyslog.d/50-default.conf e aggiungi la seguente riga alla fine del file:
```
local6.* @@FORWARDER_IP:PORT
```
Sostituisci FORWARDER_IP e PORT con l'indirizzo IP e la porta del server di forwarding. La prima colonna indica quali I log vengono inviati da /var/log tramite rsyslog. Il parametro @@ nella seconda colonna indica viene usato TCP per inviare il messaggio. Per utilizzare UDP, usa un @.
Per disattivare il logging locale in syslog, configura rsyslog aggiungendo local6.none alla riga che configura gli elementi da registrare in syslog locale. Il file è diverso per ogni sistema operativo. Per Debian il file è /etc/rsyslog.conf, mentre per Ubuntu è /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Riavvia i seguenti servizi:

service auditd restart
service rsyslog restart

Raccolta di log di sistema Unix

Crea o modifica il file /etc/rsyslog.d/50-default.conf e aggiungi la seguente riga alla fine del file:
```
*.*   @@FORWARDER_IP:PORT
```
Sostituisci FORWARDER_IP e PORT con l'indirizzo IP del tuo forwarder. La prima colonna indica quali log vengono inviati da /var/log tramite rsyslog. @@ nella seconda colonna indica che per inviare il messaggio viene usato TCP. Per utilizzare UDP, usa un solo @.
Esegui questo comando per riavviare il daemon e caricare la nuova configurazione:
```
sudo service rsyslog restart
```

Configura il forwarder di Google SecOps per i log Unix

Nel forwarding di Google SecOps, specifica il seguente tipo di dati:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Per ulteriori informazioni, vedi Installare e configurare il forwarder Google SecOps su Linux.