Отправка журналов аудита на сервер SYSLOG

Я использую несколько систем на основе RHEL, которые используют функции аудита в ядре 2.6 для отслеживания активности пользователей, и мне нужно отправить эти журналы на централизованные серверы SYSLOG для мониторинга и корреляции событий. Кто-нибудь знает, как этого добиться?

Редактировать: 17.11.14

Этот ответ может все еще работать, но в 2014 году лучше использовать плагин Audisp .

Если вы используете стандартный сервер sslog ksyslogd, я не знаю, как это сделать. Но в их Wiki есть отличные инструкции для этого с помощью rsyslog . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Я подведу итог:

• На отправляющем клиенте ( rsyslog.conf):

  # Auditd Audit.log  
  $ InputFileName /var/log/audit/audit.log  
  $ InputFileTag tag_audit_log:  
  $ InputFileStateFile audit_log  
  $ InputFileSeverity info  
  $ InputFileFacility local6  
  $ InputRunFileMonitor
  

  Обратите внимание, что imfileмодуль необходимо предварительно загрузить в конфигурации rsyslog. Это линия, ответственная за это:

  $ ModLoad imfile

  Так что проверьте, есть ли это в вашем rsyslog.confфайле. Если его там нет, добавьте его в ### MODULES ###разделе, чтобы включить этот модуль; в противном случае вышеуказанная конфигурация для ведения журнала audd не будет работать.

• На принимающем сервере ( rsyslog.conf):

  $ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
  local6. *
  

Перезапустите службу ( service rsyslog restart) на обоих хостах, и вы должны начать получать auditdсообщения.

Самый безопасный и правильный способ - использовать плагин audispd syslog и / или audisp-remote .

Чтобы быстро заставить его работать, вы можете отредактировать /etc/audisp/plugins.d/syslog.conf . RHEL включает это по умолчанию, хотя оно отключено. Вам нужно изменить только одну строку, чтобы включить его, active = yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Но это не очень безопасно по умолчанию; syslog - это небезопасный протокол в своей основе, незашифрованный, не прошедший проверку подлинности и в своей первоначальной спецификации UDP, абсолютно ненадежный. Он также хранит много информации в незащищенных файлах. Linux Audit System обрабатывает более конфиденциальную информацию, чем обычно отправляется в системный журнал, следовательно, это разделение. audisp-remote также обеспечивает аутентификацию и шифрование Kerberos, поэтому он хорошо работает в качестве безопасного транспорта. Используя audisp-remote, вы отправляете сообщения аудита с помощью audispd на сервер audisp-remote, работающий на вашем центральном сервере syslog. Затем audisp-remote будет использовать плагин audispd syslog для передачи их в syslog dameon.

Но есть и другие методы! rsyslog очень надежный! rsyslog также предлагает шифрование Kerberos плюс TLS. Просто убедитесь, что он настроен надежно.

Вы можете войти непосредственно в системный журнал, используя audisp, это часть пакета Audit. В Debian (я еще не пробовал в других дистрибутивах) отредактируйте в:

/etc/audisp/plugins.d/syslog.conf

и установить active=yes.