Mengumpulkan log sistem Unix dan yang diaudit Linux

Dokumen ini menjelaskan cara mengumpulkan log sistem daemon audit (diaudit) dan Unix, serta menggunakan forwarder Chronicle untuk menyerap log ke Chronicle.

Prosedur dalam dokumen ini telah diuji pada Debian 11.7 dan Ubuntu 22.04 LTS (Jammy Jellyfish).

Mengumpulkan log dari log yang diaudit dan syslog

Anda dapat mengonfigurasi host Linux untuk mengirim log yang diaudit ke Chronicle forwarder menggunakan rsyslog.

Deploy daemon audit dan framework pengiriman audit dengan menjalankan perintah berikut. Jika telah men-deploy daemon dan framework, Anda dapat melewati langkah ini.
```
apt-get install auditd audispd-plugins
```
Untuk mengaktifkan logging semua perintah, yang mencakup pengguna dan root, tambahkan baris berikut ke /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Catatan: Jika Anda telah mengaktifkan deteksi pilihan Ancaman Linux Chronicle, pastikan Anda menggunakan konfigurasi yang diaudit yang sesuai.
Mulai ulang yang diaudit dengan menjalankan perintah berikut:
```
service auditd restart
```

Konfigurasi penerus Chronicle untuk diaudit

Pada penerusan Chronicle, tentukan jenis data berikut:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Untuk mengetahui informasi selengkapnya, lihat Menginstal dan mengonfigurasi forwarder Chronicle di Linux.

Mengonfigurasi syslog

Pastikan parameter dalam file /etc/audisp/plugins.d/syslog.conf cocok dengan nilai berikut:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Ubah atau buat file /etc/rsyslog.d/50-default.conf dan tambahkan baris berikut di akhir file:
```
local6.* @@FORWARDER_IP:PORT
```
Ganti FORWARDER_IP dan PORT dengan alamat IP dan port penerus Anda. Kolom pertama menunjukkan log mana yang dikirim dari /var/log melalui rsyslog. @@ di kolom kedua menunjukkan bahwa TCP digunakan untuk mengirim pesan. Untuk menggunakan UDP, gunakan satu @.
Untuk menonaktifkan logging lokal ke syslog, konfigurasikan rsyslog dengan menambahkan local6.none ke baris yang mengonfigurasi apa yang dicatat ke dalam log ke syslog lokal. File ini berbeda untuk setiap OS. Untuk Debian, filenya adalah /etc/rsyslog.conf, dan untuk Ubuntu, filenya adalah /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Mulai ulang layanan berikut:

service auditd restart
service rsyslog restart

Mengumpulkan log sistem Unix

Buat atau ubah file /etc/rsyslog.d/50-default.conf dan tambahkan baris berikut di akhir file:
```
*.*   @@FORWARDER_IP:PORT
```
Ganti FORWARDER_IP dan PORT dengan alamat IP penerus Anda. Kolom pertama menunjukkan log mana yang dikirim dari /var/log melalui rsyslog. @@ di kolom kedua menunjukkan bahwa TCP digunakan untuk mengirim pesan. Untuk menggunakan UDP, gunakan satu @.
Jalankan perintah berikut untuk memulai ulang daemon dan memuat konfigurasi baru:
```
sudo service rsyslog restart
```

Mengonfigurasi Forwarder Chronicle untuk log Unix

Pada penerusan Chronicle, tentukan jenis data berikut:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Untuk mengetahui informasi selengkapnya, lihat Menginstal dan mengonfigurasi forwarder Chronicle di Linux.