Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del sistema auditd y Unix de Linux

Se admite en los siguientes países:

Google SecOps SIEM

En este documento, se describe cómo recopilar registros del sistema de auditoría (auditd) y Unix, y usar el reenviador de Google SecOps para transferir registros a Google SecOps.

Los procedimientos que se indican en este documento se probaron en Debian 11.7 y Ubuntu 22.04 LTS (Jammy Jellyfish).

Recopila registros de auditd y syslog

Puedes configurar los hosts de Linux para que envíen registros de auditd a un reenviador de SecOps de Google con rsyslog.

Ejecuta el siguiente comando para implementar el daemon de auditoría y el framework de envío de auditorías. Si ya implementaste el daemon y el framework, puedes omitir este paso.
```
apt-get install auditd audispd-plugins
```
Para habilitar el registro de todos los comandos, incluidos el usuario y el administrador, agrega las siguientes líneas a /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Nota: Si habilitaste las detección seleccionadas de amenazas de Linux de Google SecOps, asegúrate de usar la configuración de auditd adecuada.
Reinicia auditd mediante la ejecución del siguiente comando:
```
service auditd restart
```

Configura el reenviador de Google SecOps para auditd

En el reenviador de SecOps de Google, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Cómo instalar y configurar el reenviador de SecOps de Google en Linux.

Configura syslog

Verifica que los parámetros del archivo /etc/audisp/plugins.d/syslog.conf coincidan con los siguientes valores:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Modifica o crea el archivo /etc/rsyslog.d/50-default.conf y agrega la siguiente línea al final del archivo:
```
local6.* @@FORWARDER_IP:PORT
```
Reemplaza FORWARDER_IP y PORT por la dirección IP y el puerto de tu reenviador. La primera columna indica qué registros se envían desde /var/log a través de rsyslog. El @@ en la segunda columna indica que se usa TCP para enviar el mensaje. Para usar UDP, usa un @.
Para inhabilitar el registro local en syslog, configura rsyslog agregando local6.none a la línea que configura lo que se registra en el syslog local. El archivo difiere para cada SO. Para Debian, el archivo es /etc/rsyslog.conf y, para Ubuntu, es /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Reinicia los siguientes servicios:

service auditd restart
service rsyslog restart

Recopila registros de sistemas Unix

Crea o modifica el archivo /etc/rsyslog.d/50-default.conf y agrega la siguiente línea al final del archivo:
```
*.*   @@FORWARDER_IP:PORT
```
Reemplaza FORWARDER_IP y PORT por la dirección IP de tu reenviador. La primera columna indica qué registros se envían desde /var/log a través de rsyslog. El @@ en la segunda columna indica que se usa TCP para enviar el mensaje. Para usar UDP, usa un @.
Ejecuta el siguiente comando para reiniciar el daemon y cargar la nueva configuración:
```
sudo service rsyslog restart
```

Configura el reenviador de Google SecOps para los registros de Unix

En el reenviador de SecOps de Google, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Cómo instalar y configurar el reenviador de SecOps de Google en Linux.