Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del sistema Linux auditd y Unix

En este documento, se describe cómo recopilar registros del sistema Unix y daemon de auditoría (auditd), y cómo usar el servidor de reenvío de Google SecOps para transferir registros a Google SecOps.

Los procedimientos de este documento se probaron en Debian 11.7 y Ubuntu 22.04 LTS (Jammy Jellyfish).

Recopilar registros de auditd y syslog

Puedes configurar los hosts de Linux para que envíen registros de auditoría a un reenvío de Google SecOps mediante rsyslog.

Implementa el daemon de auditoría y el framework de despacho de auditorías ejecutando el siguiente comando. Si ya implementaste el daemon y el framework, puedes omitir este paso.
```
apt-get install auditd audispd-plugins
```
Para habilitar el registro de todos los comandos, que incluyen el usuario y la raíz, agrega las siguientes líneas a /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Nota: Si habilitaste las detecciones seleccionadas de amenazas de Linux de Google SecOps, asegúrate de usar la configuración auditd adecuada.
Ejecuta el siguiente comando para reiniciar auditd:
```
service auditd restart
```

Configura el servidor de reenvío de Google SecOps para auditd

En el servidor de reenvío de Google SecOps, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Cómo instalar y configurar el servidor de reenvío de Google SecOps en Linux.

Configura syslog

Verifica que los parámetros del archivo /etc/audisp/plugins.d/syslog.conf coincidan con los siguientes valores:
```
active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string
```
Modifica o crea el archivo /etc/rsyslog.d/50-default.conf y agrega la siguiente línea al final:
```
local6.* @@FORWARDER_IP:PORT
```
Reemplaza FORWARDER_IP y PORT por la dirección IP y el puerto del servidor de reenvío. La primera columna indica qué registros se envían desde /var/log a través de rsyslog. El @@ en la segunda columna indica que se usa TCP para enviar el mensaje. Para usar UDP, usa un @.
Para inhabilitar el registro local en syslog, configura rsyslog agregando local6.none a la línea que configura lo que se registra en syslog local. El archivo es diferente para cada SO. Para Debian, el archivo es /etc/rsyslog.conf, y para Ubuntu, /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Reinicia los siguientes servicios:

service auditd restart
service rsyslog restart

Recopila registros de sistemas Unix

Crea o modifica el archivo /etc/rsyslog.d/50-default.conf y agrega la siguiente línea al final:
```
*.*   @@FORWARDER_IP:PORT
```
Reemplaza FORWARDER_IP y PORT por la dirección IP del servidor de reenvío. En la primera columna, se indica qué registros se envían desde /var/log a través de rsyslog. El @@ de la segunda columna indica que se usa TCP para enviar el mensaje. Para usar UDP, usa un @.
Ejecuta el siguiente comando para reiniciar el daemon y cargar el archivo de configuración nuevo:
```
sudo service rsyslog restart
```

Configura el reenvío de Google SecOps para registros de Unix

En el servidor de reenvío de Google SecOps, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Cómo instalar y configurar el servidor de reenvío de Google SecOps en Linux.