Coletar registros de sistema Linux auditd e Unix
Este documento descreve como coletar registros de sistema de demônio de auditoria (auditd) e Unix e usar o encaminhador do Google SecOps para transferir registros para o Google SecOps.
Os procedimentos descritos neste documento foram testados no Debian 11.7 e no Ubuntu 22.04 LTS (Jammy Jellyfish).
Coletar registros de auditd e syslog
É possível configurar os hosts do Linux para enviar registros de auditoria a um sistema do encaminhador usando rsyslog.
Implante o daemon de auditoria e o framework de expedição de auditoria executando o comando a seguir. Se você já implantou o daemon e o framework, pule esta etapa.
apt-get install auditd audispd-plugins
Para ativar a geração de registros de todos os comandos, que incluem o usuário e a raiz, adicione o seguinte linhas para
/etc/audit/rules.d/audit.rules
:-a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve
Reinicie o auditd executando o seguinte comando:
service auditd restart
Configurar o encaminhador do Google SecOps para auditd
No encaminhador do Google SecOps, especifique o seguinte tipo de dados:
- syslog:
common:
enabled: true
data_type: AUDITD
batch_n_seconds:
batch_n_bytes:
tcp_address:
connection_timeout_sec:
Para mais informações, consulte Instalar e configurar o forwarder do Google SecOps no Linux.
Configurar o syslog
Verifique se os parâmetros no arquivo
/etc/audisp/plugins.d/syslog.conf
correspondem aos seguintes valores:active = yes direction = out path = /sbin/audisp-syslog type = always args = LOG_LOCAL6 format = string
Modifique ou crie o arquivo
/etc/rsyslog.d/50-default.conf
e adicione a seguinte linha ao final do arquivo:local6.* @@
FORWARDER_IP:PORT
Substitua
FORWARDER_IP
ePORT
pelo endereço IP e pela porta do encaminhador. A primeira coluna indica qual registros são enviados de/var/log
por meio do rsyslog. O@@
na segunda coluna indica que o TCP é usado para enviar a mensagem. Para usar UDP, use um@
.Para desativar o registro local no syslog, configure-o adicionando
local6.none
. à linha que configura o que é registrado no syslog local. O arquivo é diferente para cada SO. Para Debian, o arquivo é/etc/rsyslog.conf
e, para Ubuntu, o arquivo é/etc/rsyslog.d/50-default.conf
:*.*;local6.none;auth,authpriv.none -/var/log/syslog
Reinicie os seguintes serviços:
service auditd restart service rsyslog restart
Coletar registros de sistemas Unix
Crie ou modifique o arquivo
/etc/rsyslog.d/50-default.conf
e adicione a seguinte linha no final do arquivo:*.* @@
FORWARDER_IP:PORT
Substitua
FORWARDER_IP
ePORT
pelo endereço IP do encaminhador. A primeira coluna indica quais registros são enviados do/var/log
por meio do rsyslog. O@@
na segunda coluna indica que o TCP é usado para enviar a mensagem. Para usar o UDP, use um@
.Execute o seguinte comando para reiniciar o daemon e carregar a nova configuração:
sudo service rsyslog restart
Configurar o forwarder do Google SecOps para registros Unix
No encaminhador do Google SecOps, especifique o seguinte tipo de dados:
- syslog:
common:
enabled: true
data_type: NIX_SYSTEM
batch_n_seconds:
batch_n_bytes:
tcp_address:
connection_timeout_sec:
Para mais informações, consulte Instalar e configurar o encaminhador do Google SecOps no Linux.