Отправка журналов аудита на сервер SYSLOG

13

Я использую несколько систем на основе RHEL, которые используют функции аудита в ядре 2.6 для отслеживания активности пользователей, и мне нужно отправить эти журналы на централизованные серверы SYSLOG для мониторинга и корреляции событий. Кто-нибудь знает, как этого добиться?

син-
источник
Кроме того, я рекомендую проверить CIS Benchmark для RHEL 5.0 / 5.1 для некоторых советов о том, как сделать Audit более полезным.
Скотт Пак
@packs - У вас есть удобная ссылка? Мне интересно ..
Аарон Копли
1
@ Аарон - Вы можете начать здесь cisecurity.org/en-us/?route=downloads.multiform . Если ваша организация не является членом, вы принимаете лицензию.
Скотт Пак
@packs - Спасибо! Вот почему я не мог найти это так легко. (Я должен зарегистрироваться.)
Аарон Копли

Ответы:

9

Редактировать: 17.11.14

Этот ответ может все еще работать, но в 2014 году лучше использовать плагин Audisp .


Если вы используете стандартный сервер sslog ksyslogd, я не знаю, как это сделать. Но в их Wiki есть отличные инструкции для этого с помощью rsyslog . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Я подведу итог:

  • На отправляющем клиенте ( rsyslog.conf):

    # Auditd Audit.log  
    $ InputFileName /var/log/audit/audit.log  
    $ InputFileTag tag_audit_log:  
    $ InputFileStateFile audit_log  
    $ InputFileSeverity info  
    $ InputFileFacility local6  
    $ InputRunFileMonitor
    

    Обратите внимание, что imfileмодуль необходимо предварительно загрузить в конфигурации rsyslog. Это линия, ответственная за это:

    $ ModLoad imfile

    Так что проверьте, есть ли это в вашем rsyslog.confфайле. Если его там нет, добавьте его в ### MODULES ###разделе, чтобы включить этот модуль; в противном случае вышеуказанная конфигурация для ведения журнала audd не будет работать.

  • На принимающем сервере ( rsyslog.conf):

    $ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
    local6. *
    

Перезапустите службу ( service rsyslog restart) на обоих хостах, и вы должны начать получать auditdсообщения.

Аарон Копли
источник
К сожалению, (но по приемлемой причине) syslog не является опцией вывода с Auditd, поэтому вы должны сделать это примерно так.
Скотт Пак
Просто FYI для тех , кто еще устанавливать это вверх, конфиг линии , необходимые для загрузки imfile является: «$ MODLOAD imfile» Более подробную информацию о модуле можно найти здесь: rsyslog.com/doc/imfile.html
син
1
Если вы находитесь на рабочем / занятом сервере и отправляете журналы, это не эффективный способ сделать это .. imfile использует опрос, в результате чего ваш процессор тратит время на просмотр файла ..
Arenstar
14

Самый безопасный и правильный способ - использовать плагин audispd syslog и / или audisp-remote .

Чтобы быстро заставить его работать, вы можете отредактировать /etc/audisp/plugins.d/syslog.conf . RHEL включает это по умолчанию, хотя оно отключено. Вам нужно изменить только одну строку, чтобы включить его, active = yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Но это не очень безопасно по умолчанию; syslog - это небезопасный протокол в своей основе, незашифрованный, не прошедший проверку подлинности и в своей первоначальной спецификации UDP, абсолютно ненадежный. Он также хранит много информации в незащищенных файлах. Linux Audit System обрабатывает более конфиденциальную информацию, чем обычно отправляется в системный журнал, следовательно, это разделение. audisp-remote также обеспечивает аутентификацию и шифрование Kerberos, поэтому он хорошо работает в качестве безопасного транспорта. Используя audisp-remote, вы отправляете сообщения аудита с помощью audispd на сервер audisp-remote, работающий на вашем центральном сервере syslog. Затем audisp-remote будет использовать плагин audispd syslog для передачи их в syslog dameon.

Но есть и другие методы! rsyslog очень надежный! rsyslog также предлагает шифрование Kerberos плюс TLS. Просто убедитесь, что он настроен надежно.

lamawithonel
источник
Существуют ли какие-либо проблемы безопасности с перенаправлением audisp на локальный сервер rsyslog, а затем с пересылкой локального сервера rsyslog на удаленный сервер rsyslog агрегатора (с использованием TLS?)
2rs2ts
3

Вы можете войти непосредственно в системный журнал, используя audisp, это часть пакета Audit. В Debian (я еще не пробовал в других дистрибутивах) отредактируйте в:

/etc/audisp/plugins.d/syslog.conf

и установить active=yes.

Диего Войтасен
источник