Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log sistem auditd Linux dan Unix

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan daemon audit (auditd) dan log sistem Unix, dan menggunakan forwarder Google SecOps untuk menyerap log ke Google SecOps.

Prosedur dalam dokumen ini telah diuji di Debian 11.7 dan Ubuntu 22.04 LTS (Jammy Jellyfish).

Mengumpulkan log dari auditd dan syslog

Anda dapat mengonfigurasi host Linux untuk mengirim log auditd ke penerusan Google SecOps menggunakan rsyslog.

Deploy daemon audit dan framework pengiriman audit dengan menjalankan perintah berikut. Jika sudah men-deploy daemon dan framework, Anda dapat melewati langkah ini.
```
apt-get install auditd audispd-plugins
```
Untuk mengaktifkan logging semua perintah, yang mencakup pengguna dan root, tambahkan baris berikut ke /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Catatan: Jika Anda telah mengaktifkan deteksi pilihan Linux Threats Google SecOps, pastikan Anda menggunakan konfigurasi auditd yang sesuai.
Mulai ulang auditd dengan menjalankan perintah berikut:
```
service auditd restart
```

Mengonfigurasi penerusan Google SecOps untuk auditd

Di forwarder Google SecOps, tentukan jenis data berikut:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Untuk informasi selengkapnya, lihat Menginstal dan mengonfigurasi forwarder Google SecOps di Linux.

Mengonfigurasi syslog

Verifikasi bahwa parameter dalam file /etc/audisp/plugins.d/syslog.conf cocok dengan nilai berikut:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Ubah atau buat file /etc/rsyslog.d/50-default.conf dan tambahkan baris berikut di akhir file:
```
local6.* @@FORWARDER_IP:PORT
```
Ganti FORWARDER_IP dan PORT dengan alamat IP dan port forwarder Anda. Kolom pertama menunjukkan log mana yang dikirim dari /var/log melalui rsyslog. @@ di kolom kedua menunjukkan bahwa TCP digunakan untuk mengirim pesan. Untuk menggunakan UDP, gunakan satu @.
Untuk menonaktifkan logging lokal ke syslog, konfigurasikan rsyslog dengan menambahkan local6.none ke baris yang mengonfigurasi apa yang dicatat ke syslog lokal. File ini berbeda untuk setiap OS. Untuk Debian, file-nya adalah /etc/rsyslog.conf, dan untuk Ubuntu, file-nya adalah /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Mulai ulang layanan berikut:

service auditd restart
service rsyslog restart

Mengumpulkan log sistem Unix

Buat atau ubah file /etc/rsyslog.d/50-default.conf dan tambahkan baris berikut di akhir file:
```
*.*   @@FORWARDER_IP:PORT
```
Ganti FORWARDER_IP dan PORT dengan alamat IP forwarder Anda. Kolom pertama menunjukkan log yang dikirim dari /var/log melalui rsyslog. @@ di kolom kedua menunjukkan bahwa TCP digunakan untuk mengirim pesan. Untuk menggunakan UDP, gunakan satu @.
Jalankan perintah berikut untuk memulai ulang daemon dan memuat konfigurasi baru:
```
sudo service rsyslog restart
```

Mengonfigurasi forwarder Google SecOps untuk log Unix

Di forwarder Google SecOps, tentukan jenis data berikut:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Untuk informasi selengkapnya, lihat Menginstal dan mengonfigurasi forwarder Google SecOps di Linux.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.