Linux 監査と Unix システムログを収集する

このドキュメントでは、監査デーモン(auditd)と Unix システムログを収集し、Google SecOps フォワーダーを使用して Google SecOps にログを取り込む方法について説明します。

このドキュメントの手順は、Debian 11.7 と Ubuntu 22.04 LTS(Jammy Jellyfish)でテストされています。

auditd と syslog からログを収集する

rsyslog を使用して、auditd ログを Google SecOps フォワーダーに送信するように Linux ホストを構成できます。

  1. 次のコマンドを実行して、監査デーモンと監査ディスパッチ フレームワークをデプロイします。デーモンとフレームワークをすでにデプロイしている場合は、この手順をスキップできます。

    apt-get install auditd audispd-plugins

  2. ユーザーとルートを含めて、すべてのコマンドのロギングを有効にするには、/etc/audit/rules.d/audit.rules に次の行を追加します。

    -a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve

  3. 次のコマンドを実行して、auditd を再起動します。

    service auditd restart

auditd 用に Google SecOps フォワーダーを構成する

Google SecOps フォワーダーで、次のデータ型を指定します。

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

詳細については、Linux で Google SecOps フォワーダーをインストールして構成するをご覧ください。

Syslog の構成

  1. /etc/audisp/plugins.d/syslog.conf ファイルのパラメータが次の値と一致していることを確認します。

    active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

  2. /etc/rsyslog.d/50-default.conf ファイルを変更または作成し、ファイルの末尾に次の行を追加します。

    local6.* @@FORWARDER_IP:PORT

    FORWARDER_IPPORT は、フォワーダーの IP アドレスとポートに置き換えます。最初の列は、rsyslog を介して /var/log から送信されるログを示しています。2 番目の列の @@ は、TCP がメッセージの送信に使用されていることを示します。UDP を使用するには、1 つの @ を使用します。

  3. Syslog へのローカル ロギングを無効にするには、ローカル syslog に記録される内容を構成する行に local6.none を追加して、rsyslog を構成します。ファイルは OS ごとに異なります。Debian の場合、このファイルは /etc/rsyslog.conf、Ubuntu の場合は /etc/rsyslog.d/50-default.conf です。

    *.*;local6.none;auth,authpriv.none              -/var/log/syslog

  4. 次のサービスを再起動します。 

    service auditd restart
service rsyslog restart

Unix システムログを収集する

  1. /etc/rsyslog.d/50-default.conf ファイルを作成または変更し、ファイルの末尾に次の行を追加します。

    *.*   @@FORWARDER_IP:PORT

    FORWARDER_IPPORT は、フォワーダーの IP アドレスに置き換えます。 最初の列は、rsyslog を介して /var/log から送信されるログを示します。2 番目の列の @@ は、メッセージの送信に TCP が使用されていることを示します。UDP を使用するには、1 つの @ を使用します。

  2. 次のコマンドを実行してデーモンを再起動し、新しい構成を読み込みます。

    sudo service rsyslog restart

Unix ログ用に Google SecOps フォワーダーを構成する

Google SecOps フォワーダーで、次のデータ型を指定します。

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

詳細については、Linux で Google SecOps フォワーダーをインストールして構成するをご覧ください。