Coletar registros de sistema Linux auditd e Unix

Compatível com:

Este documento descreve como coletar registros de sistema de demônio de auditoria (auditd) e Unix e usar o encaminhador do Google SecOps para transferir registros para o Google SecOps.

Os procedimentos descritos neste documento foram testados no Debian 11.7 e no Ubuntu 22.04 LTS (Jammy Jellyfish).

Coletar registros de auditd e syslog

É possível configurar os hosts do Linux para enviar registros de auditoria a um sistema do encaminhador usando rsyslog.

  1. Implante o daemon de auditoria e o framework de expedição de auditoria executando o comando a seguir. Se você já implantou o daemon e o framework, pule esta etapa.

    apt-get install auditd audispd-plugins
    
  2. Para ativar a geração de registros de todos os comandos, que incluem o usuário e a raiz, adicione o seguinte linhas para /etc/audit/rules.d/audit.rules:

    -a exit,always -F arch=b64 -S execve
    -a exit,always -F arch=b32 -S execve
    
  3. Reinicie o auditd executando o seguinte comando:

    service auditd restart
    

Configurar o encaminhador do Google SecOps para auditd

No encaminhador do Google SecOps, especifique o seguinte tipo de dados:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para mais informações, consulte Instalar e configurar o forwarder do Google SecOps no Linux.

Configurar o syslog

  1. Verifique se os parâmetros no arquivo /etc/audisp/plugins.d/syslog.conf correspondem aos seguintes valores:

    active = yes
    direction = out
    path = /sbin/audisp-syslog
    type = always
    args = LOG_LOCAL6
    format = string
    
  2. Modifique ou crie o arquivo /etc/rsyslog.d/50-default.conf e adicione a seguinte linha ao final do arquivo:

    local6.* @@FORWARDER_IP:PORT
    

    Substitua FORWARDER_IP e PORT pelo endereço IP e pela porta do encaminhador. A primeira coluna indica qual registros são enviados de /var/log por meio do rsyslog. O @@ na segunda coluna indica que o TCP é usado para enviar a mensagem. Para usar UDP, use um @.

  3. Para desativar o registro local no syslog, configure-o adicionando local6.none. à linha que configura o que é registrado no syslog local. O arquivo é diferente para cada SO. Para Debian, o arquivo é /etc/rsyslog.conf e, para Ubuntu, o arquivo é /etc/rsyslog.d/50-default.conf:

    *.*;local6.none;auth,authpriv.none              -/var/log/syslog
    
  4. Reinicie os seguintes serviços:

    service auditd restart
    service rsyslog restart
    

Coletar registros de sistemas Unix

  1. Crie ou modifique o arquivo /etc/rsyslog.d/50-default.conf e adicione a seguinte linha no final do arquivo:

    *.*   @@FORWARDER_IP:PORT
    

    Substitua FORWARDER_IP e PORT pelo endereço IP do encaminhador. A primeira coluna indica quais registros são enviados do /var/log por meio do rsyslog. O @@ na segunda coluna indica que o TCP é usado para enviar a mensagem. Para usar o UDP, use um @.

  2. Execute o seguinte comando para reiniciar o daemon e carregar a nova configuração:

    sudo service rsyslog restart
    

Configurar o forwarder do Google SecOps para registros Unix

No encaminhador do Google SecOps, especifique o seguinte tipo de dados:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para mais informações, consulte Instalar e configurar o encaminhador do Google SecOps no Linux.