Esta página foi traduzida pela API Cloud Translation.

Coletar registros de sistema Linux auditd e Unix

Compatível com:

Google SecOps SIEM

Este documento descreve como coletar registros de sistema de demônio de auditoria (auditd) e Unix e usar o encaminhador do Google SecOps para transferir registros para o Google SecOps.

Os procedimentos descritos neste documento foram testados no Debian 11.7 e no Ubuntu 22.04 LTS (Jammy Jellyfish).

Coletar registros de auditd e syslog

É possível configurar os hosts do Linux para enviar registros de auditoria a um sistema do encaminhador usando rsyslog.

Implante o daemon de auditoria e o framework de expedição de auditoria executando o comando a seguir. Se você já implantou o daemon e o framework, pule esta etapa.
```
apt-get install auditd audispd-plugins
```
Para ativar a geração de registros de todos os comandos, que incluem o usuário e a raiz, adicione o seguinte linhas para /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Observação :se você ativou as detecções selecionadas do Google SecOps do Linux Threats do Linux, verifique se está usando a configuração auditada apropriada.
Reinicie o auditd executando o seguinte comando:
```
service auditd restart
```

Configurar o encaminhador do Google SecOps para auditd

No encaminhador do Google SecOps, especifique o seguinte tipo de dados:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para mais informações, consulte Instalar e configurar o forwarder do Google SecOps no Linux.

Configurar o syslog

Verifique se os parâmetros no arquivo /etc/audisp/plugins.d/syslog.conf correspondem aos seguintes valores:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Modifique ou crie o arquivo /etc/rsyslog.d/50-default.conf e adicione a seguinte linha ao final do arquivo:
```
local6.* @@FORWARDER_IP:PORT
```
Substitua FORWARDER_IP e PORT pelo endereço IP e pela porta do encaminhador. A primeira coluna indica qual registros são enviados de /var/log por meio do rsyslog. O @@ na segunda coluna indica que o TCP é usado para enviar a mensagem. Para usar UDP, use um @.
Para desativar o registro local no syslog, configure-o adicionando local6.none. à linha que configura o que é registrado no syslog local. O arquivo é diferente para cada SO. Para Debian, o arquivo é /etc/rsyslog.conf e, para Ubuntu, o arquivo é /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Reinicie os seguintes serviços:

service auditd restart
service rsyslog restart

Coletar registros de sistemas Unix

Crie ou modifique o arquivo /etc/rsyslog.d/50-default.conf e adicione a seguinte linha no final do arquivo:
```
*.*   @@FORWARDER_IP:PORT
```
Substitua FORWARDER_IP e PORT pelo endereço IP do encaminhador. A primeira coluna indica quais registros são enviados do /var/log por meio do rsyslog. O @@ na segunda coluna indica que o TCP é usado para enviar a mensagem. Para usar o UDP, use um @.
Execute o seguinte comando para reiniciar o daemon e carregar a nova configuração:
```
sudo service rsyslog restart
```

Configurar o forwarder do Google SecOps para registros Unix

No encaminhador do Google SecOps, especifique o seguinte tipo de dados:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para mais informações, consulte Instalar e configurar o encaminhador do Google SecOps no Linux.