Diese Seite wurde von der Cloud Translation API übersetzt.

Linux-auditd- und Unix-Systemprotokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Audit-Daemon- (auditd) und Unix-Systemprotokolle erfassen und mit dem Google SecOps-Weiterleiter Logs in Google SecOps aufnehmen.

Die Verfahren in diesem Dokument wurden auf Debian 11.7 und Ubuntu 22.04 LTS (Jammy Jellyfish) getestet.

Logs von auditd und syslog erfassen

Sie können die Linux-Hosts so konfigurieren, dass auditd-Protokolle mithilfe von rsyslog an einen Google SecOps-Weiterleiter gesendet werden.

Stellen Sie den Audit-Daemon und das Audit Dispatching Framework bereit, indem Sie den folgenden Befehl ausführen. Wenn Sie den Daemon und das Framework bereits bereitgestellt haben, können Sie diesen Schritt überspringen.
```
apt-get install auditd audispd-plugins
```
Wenn Sie das Logging aller Befehle aktivieren möchten, einschließlich der Befehle von Nutzern und Root, fügen Sie /etc/audit/rules.d/audit.rules die folgenden Zeilen hinzu:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Hinweis :Wenn Sie die von Google SecOps ausgewählten Erkennungen für Linux-Bedrohungen aktiviert haben, müssen Sie die entsprechende auditd-Konfiguration verwenden.
Starten Sie auditd mit dem folgenden Befehl neu:
```
service auditd restart
```

Google SecOps-Weiterleiter für auditd konfigurieren

Geben Sie für den Google SecOps-Weiterleiter den folgenden Datentyp an:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Weitere Informationen finden Sie unter Google SecOps-Weiterleiter unter Linux installieren und konfigurieren.

Syslog konfigurieren

Prüfen Sie, ob die Parameter in der Datei /etc/audisp/plugins.d/syslog.conf mit den folgenden Werten übereinstimmen:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Ändern oder erstellen Sie die Datei /etc/rsyslog.d/50-default.conf und fügen Sie am Ende der Datei die folgende Zeile hinzu:
```
local6.* @@FORWARDER_IP:PORT
```
Ersetzen Sie FORWARDER_IP und PORT durch die IP-Adresse und den Port Ihres Resellers. In der ersten Spalte sehen Sie, welche Protokolle von /var/log über rsyslog gesendet werden. Das @@ in der zweiten Spalte gibt an, dass TCP zum Senden der Nachricht verwendet wird. Wenn Sie UDP verwenden möchten, verwenden Sie eine @.
Wenn Sie die lokale Logging-Funktion für syslog deaktivieren möchten, konfigurieren Sie rsyslog, indem Sie der Zeile, in der festgelegt wird, was im lokalen syslog protokolliert wird, local6.none hinzufügen. Die Datei unterscheidet sich je nach Betriebssystem. Bei Debian lautet die Datei /etc/rsyslog.conf und bei Ubuntu /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Starten Sie die folgenden Dienste neu:

service auditd restart
service rsyslog restart

Protokolle von Unix-Systemen erfassen

Erstellen oder ändern Sie die Datei /etc/rsyslog.d/50-default.conf und fügen Sie am Ende der Datei die folgende Zeile hinzu:
```
*.*   @@FORWARDER_IP:PORT
```
Ersetzen Sie FORWARDER_IP und PORT durch die IP-Adresse Ihres Weiterleitungsservers. In der ersten Spalte sehen Sie, welche Logs von /var/log über rsyslog gesendet werden. Das @@ in der zweiten Spalte gibt an, dass TCP zum Senden der Nachricht verwendet wird. Wenn Sie UDP verwenden möchten, verwenden Sie eine @.
Führen Sie den folgenden Befehl aus, um den Daemon neu zu starten und die neue Konfiguration zu laden:
```
sudo service rsyslog restart
```

Google SecOps-Weiterleiter für Unix-Protokolle konfigurieren

Geben Sie für den Google SecOps-Weiterleiter den folgenden Datentyp an:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Weitere Informationen finden Sie unter Google SecOps-Weiterleiter unter Linux installieren und konfigurieren.