Diese Seite wurde von der Cloud Translation API übersetzt.

Linux-Audit- und Unix-Systemprotokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Audit-Daemon (auditd) und Unix-Systemlogs erfasst werden. und verwenden Sie den Google SecOps-Forwarder, um Logs an Google SecOps aufzunehmen.

Die Verfahren in diesem Dokument wurden auf Debian 11.7 und Ubuntu 22.04 LTS (Jammy Jellyfish) getestet.

Logs aus Auditd und syslog erfassen

Sie können die Linux-Hosts so konfigurieren, dass auditd-Protokolle mithilfe von rsyslog an einen Google SecOps-Weiterleiter gesendet werden.

Stellen Sie den Audit-Daemon und das Audit-Dispatching-Framework bereit, indem Sie den folgenden Befehl ausführen. Wenn Sie den Daemon und das Framework bereits bereitgestellt haben, können Sie diesen Schritt überspringen.
```
apt-get install auditd audispd-plugins
```
Wenn Sie das Logging aller Befehle aktivieren möchten, einschließlich der Befehle von Nutzern und Root, fügen Sie /etc/audit/rules.d/audit.rules die folgenden Zeilen hinzu:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Hinweis: Wenn Sie kuratierte Erkennungsmechanismen für Linux-Bedrohungen für Google SecOps aktiviert haben, achten Sie darauf, dass Sie die entsprechende Audit-Konfiguration verwenden.
Starten Sie Auditd mit dem folgenden Befehl neu:
```
service auditd restart
```

Google SecOps-Forwarder für Auditd konfigurieren

Geben Sie für den Google SecOps-Weiterleiter den folgenden Datentyp an:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Weitere Informationen finden Sie unter Google SecOps-Weiterleiter unter Linux installieren und konfigurieren.

Syslog konfigurieren

Prüfen Sie, ob die Parameter in der Datei /etc/audisp/plugins.d/syslog.conf mit den folgenden Werten übereinstimmen:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Ändern oder erstellen Sie die Datei /etc/rsyslog.d/50-default.conf und fügen Sie am Ende der Datei die folgende Zeile hinzu:
```
local6.* @@FORWARDER_IP:PORT
```
Ersetzen Sie FORWARDER_IP und PORT durch die IP-Adresse und den Port Ihres Forwarders. In der ersten Spalte sehen Sie, welche Protokolle von /var/log über rsyslog gesendet werden. Das @@ in der zweiten Spalte gibt an, dass TCP zum Senden der Nachricht verwendet wird. Verwende eine @, um UDP zu nutzen.
Konfigurieren Sie rsyslog, indem Sie local6.none hinzufügen, um das lokale Logging in Syslog zu deaktivieren in die Zeile ein, in der konfiguriert wird, was im lokalen Syslog protokolliert wird. Die Datei unterscheidet sich je nach Betriebssystem. Für Debian ist die Datei /etc/rsyslog.conf und für Ubuntu ist die Datei /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Starten Sie die folgenden Dienste neu:

service auditd restart
service rsyslog restart

Protokolle von Unix-Systemen erfassen

Erstellen oder ändern Sie die Datei /etc/rsyslog.d/50-default.conf und fügen Sie am Ende der Datei die folgende Zeile hinzu:
```
*.*   @@FORWARDER_IP:PORT
```
Ersetzen Sie FORWARDER_IP und PORT durch die IP-Adresse des Forwarders. Die erste Spalte gibt an, welche Logs von /var/log über rsyslog gesendet werden. Das @@ in der zweiten Spalte gibt an, dass TCP zum Senden der Nachricht verwendet wird. Verwende eine @, um UDP zu nutzen.
Führen Sie den folgenden Befehl aus, um den Daemon neu zu starten und die neue Konfiguration zu laden:
```
sudo service rsyslog restart
```

Google SecOps-Forwarder für Unix-Logs konfigurieren

Geben Sie für den Google SecOps-Weiterleiter den folgenden Datentyp an:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Weitere Informationen finden Sie unter Google SecOps-Weiterleiter unter Linux installieren und konfigurieren.