Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux système Linux auditd et Unix

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux système Unix et le daemon d'audit (auditd), et comment utiliser le transpondeur Google SecOps pour ingérer les journaux dans Google SecOps.

Les procédures décrites dans ce document ont été testées sur Debian 11.7 et Ubuntu 22.04 LTS (Jammy Jellyfish).

Collecter les journaux d'auditd et de syslog

Vous pouvez configurer les hôtes Linux pour qu'ils envoient des journaux auditd à un transfert Google SecOps à l'aide de rsyslog.

Déployez le daemon d'audit et le framework de répartition des audits en exécutant la commande suivante. Si vous avez déjà déployé le daemon et le framework, vous pouvez ignorer cette étape.
```
apt-get install auditd audispd-plugins
```
Pour activer la journalisation de toutes les commandes, y compris l'utilisateur et l'utilisateur racine, ajoutez ce qui suit : lignes vers /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Remarque : Si vous avez activé les détections sélectionnées des menaces Linux de Google SecOps, assurez-vous d'utiliser la configuration auditée appropriée.
Redémarrez auditd en exécutant la commande suivante :
```
service auditd restart
```

Configurer le redirecteur Google SecOps pour auditd

Dans le redirecteur Google SecOps, spécifiez le type de données suivant:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Pour en savoir plus, consultez Installer et configurer le redirecteur Google SecOps sous Linux.

Configurer syslog

Vérifiez que les paramètres du fichier /etc/audisp/plugins.d/syslog.conf correspondent aux valeurs suivantes :

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Modifiez ou créez le fichier /etc/rsyslog.d/50-default.conf et ajoutez la ligne suivante à la fin du fichier:
```
local6.* @@FORWARDER_IP:PORT
```
Remplacer FORWARDER_IP et PORT par l'adresse IP et le port de votre redirecteur. La première colonne indique les journaux sont envoyés depuis /var/log via rsyslog. Le @@ de la deuxième colonne indique que TCP est utilisé pour envoyer le message. Pour utiliser UDP, utilisez un @.
Pour désactiver la journalisation locale sur syslog, configurez rsyslog en ajoutant local6.none à la ligne qui configure ce qui est enregistré dans le syslog local. Le fichier diffère pour chaque OS. Pour Debian, le fichier est /etc/rsyslog.conf. Pour Ubuntu, il s'agit du fichier /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Redémarrez les services suivants:

service auditd restart
service rsyslog restart

Collecter les journaux des systèmes Unix

Créez ou modifiez le fichier /etc/rsyslog.d/50-default.conf et ajoutez la ligne suivante à la fin du fichier:
```
*.*   @@FORWARDER_IP:PORT
```
Remplacez FORWARDER_IP et PORT par l'adresse IP de votre redirecteur. La première colonne indique les journaux envoyés depuis /var/log via rsyslog. Le @@ dans la deuxième colonne indique que TCP est utilisé pour envoyer le message. Pour utiliser UDP, utilisez un @.
Exécutez la commande suivante pour redémarrer le daemon et charger la nouvelle configuration:
```
sudo service rsyslog restart
```

Configurer le redirecteur Google SecOps pour les journaux Unix

Sur le forwarder Google SecOps, spécifiez le type de données suivant :

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Pour en savoir plus, consultez Installer et configurer le redirecteur Google SecOps sous Linux.