收集 Linux auditd 和 Unix 系统日志
本文档介绍了如何收集审核守护程序 (auditd) 和 Unix 系统日志,以及如何使用 Google SecOps 转发器将日志提取到 Google SecOps。
本文档中的流程已在 Debian 11.7 和 Ubuntu 22.04 LTS (Jammy Jellyfish) 上进行了测试。
从 auditd 和 syslog 收集日志
您可以使用 rsyslog 将 Linux 主机配置为将审核日志发送到 Google SecOps 转发器。
通过运行以下命令部署审核守护程序和审核调度框架。 如果您已部署守护程序和框架,则可以跳过此步骤。
apt-get install auditd audispd-plugins要启用所有命令(包括用户和根目录)的日志记录,请添加以下内容 复制到
/etc/audit/rules.d/audit.rules中:-a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve通过运行以下命令重启 auditd:
service auditd restart
为 auditd 配置 Google SecOps 转发器
在 Google SecOps 转发器上,指定以下数据类型:
- syslog:
common:
enabled: true
data_type: AUDITD
batch_n_seconds:
batch_n_bytes:
tcp_address:
connection_timeout_sec:
如需了解详情,请参阅在 Linux 上安装和配置 Google SecOps 转发器。
配置 syslog
验证
/etc/audisp/plugins.d/syslog.conf文件中的参数是否与以下值匹配:active = yes direction = out path = /sbin/audisp-syslog type = always args = LOG_LOCAL6 format = string修改或创建
/etc/rsyslog.d/50-default.conf文件,并在文件末尾添加以下行:local6.* @@
FORWARDER_IP:PORT替换
FORWARDER_IP和PORT替换为转发器的 IP 地址和端口。第一列指示通过 rsyslog 从/var/log发送的日志。第二列中的@@表示 TCP 用于发送消息。如需使用 UDP,请使用一个@。如需停用向 syslog 记录本地日志,请在用于配置要记录到本地 syslog 的内容的行中添加
local6.none,以便配置 rsyslog。该文件因操作系统而异。对于 Debian,该文件为/etc/rsyslog.conf;对于 Ubuntu,该文件为/etc/rsyslog.d/50-default.conf:*.*;local6.none;auth,authpriv.none -/var/log/syslog重启以下服务:
service auditd restart service rsyslog restart
收集 Unix 系统日志
创建或修改
/etc/rsyslog.d/50-default.conf文件,并在文件末尾添加以下行:*.* @@
FORWARDER_IP:PORT将
FORWARDER_IP和PORT替换为转发器的 IP 地址。第一列指示/var/log通过 rsyslog 发送的日志。@@表示使用 TCP 发送消息。如需使用 UDP,请使用一个@。运行以下命令以重启守护程序并加载新配置:
sudo service rsyslog restart
为 Unix 日志配置 Google SecOps 转发器
在 Google SecOps 转发器上,指定以下数据类型:
- syslog:
common:
enabled: true
data_type: NIX_SYSTEM
batch_n_seconds:
batch_n_bytes:
tcp_address:
connection_timeout_sec:
如需了解详情,请参阅在 Linux 上安装和配置 Google SecOps 转发器。