Mengirim log audit ke server SYSLOG

13

Saya menjalankan beberapa sistem berbasis RHEL yang memanfaatkan fungsionalitas audit dalam kernel 2.6 untuk melacak aktivitas pengguna dan saya perlu mengirimkan log-log ini ke server SYSLOG terpusat untuk pemantauan dan korelasi acara. Adakah yang tahu bagaimana mencapainya?

syn-
sumber
Selain itu, saya sarankan untuk memeriksa Tolok Ukur CIS untuk RHEL 5.0 / 5.1 untuk beberapa saran tentang membuat auditd lebih berguna.
Scott Pack
@packs - Apakah Anda memiliki tautan? Saya tertarik ..
Aaron Copley
1
@ Harun - Anda bisa mulai di sini cisecurity.org/en-us/?route=downloads.multiform . Kecuali jika organisasi Anda adalah anggota, Anda akan menerima lisensi.
Scott Pack
@paket - Terima kasih! Itu sebabnya saya tidak bisa menemukannya dengan mudah. (Saya harus mendaftar.)
Aaron Copley

Jawaban:

9

Edit: 11/17/14

Jawaban ini mungkin masih berfungsi, tetapi pada tahun 2014, menggunakan plugin Audisp adalah jawaban yang lebih baik.


Jika Anda menjalankan server sslog stock ksyslogd saya tidak tahu bagaimana melakukan ini. Tetapi ada instruksi bagus untuk melakukannya dengan rsyslog di Wiki mereka . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Saya akan meringkas:

  • Pada klien pengirim ( rsyslog.conf):

    # auditd audit.log  
    $ InputFileName /var/log/audit/audit.log  
    $ InputFileTag tag_audit_log:  
    $ InputFileStateFile audit_log  
    $ Info InputFileSeverity  
    $ InputFileFacility local6  
    $ InputRunFileMonitor
    

    Perhatikan bahwa imfilemodul harus sudah dimuat sebelumnya dalam konfigurasi rsyslog. Ini adalah garis yang bertanggung jawab untuk itu:

    $ ModLoad imfile

    Jadi periksa apakah ada di rsyslog.conffile Anda . Jika tidak ada, tambahkan di bawah ### MODULES ###bagian untuk mengaktifkan modul ini; jika tidak, konfigurasi di atas untuk logging auditd tidak akan berfungsi.

  • Di server penerima ( rsyslog.conf):

    $ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
    lokal6. *
    

Mulai ulang layanan ( service rsyslog restart) pada kedua host dan Anda harus mulai menerima auditdpesan.

Aaron Copley
sumber
Sayangnya, (tetapi untuk alasan yang dapat diterima) syslog bukan merupakan opsi keluaran dengan auditd, jadi Anda harus melakukan sesuatu seperti ini.
Scott Pack
Hanya FYI untuk siapa pun yang mengatur ini, baris konfigurasi yang diperlukan untuk memuat imfile adalah: "$ ModLoad imfile" Informasi lebih lanjut tentang modul ini dapat ditemukan di sini: rsyslog.com/doc/imfile.html
syn-
1
Jika Anda menggunakan server produksi / sibuk dan mengirim log, ini bukan cara yang efisien untuk melakukan hal ini .. imfile menggunakan polling, di mana siklus cpu Anda selalu untuk menonton file ..
Arenstar
14

Metode yang paling aman dan benar adalah dengan menggunakan plugin audispd syslog dan / atau audisp-remote .

Untuk membuatnya cepat berfungsi, Anda dapat mengedit /etc/audisp/plugins.d/syslog.conf . RHEL menyertakan ini secara default, meskipun dinonaktifkan. Anda hanya perlu mengubah satu baris untuk mengaktifkannya, aktif = ya .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Tapi ini tidak terlalu aman secara default; syslog adalah protokol tidak aman pada dasarnya, tidak terenkripsi, tidak terauthentikasi dan dalam spesifikasi UDP aslinya, sama sekali tidak dapat diandalkan. Ini juga menyimpan banyak informasi dalam file tidak aman. Sistem Audit Linux menangani informasi yang lebih sensitif daripada yang biasanya dikirim ke syslog, maka pemisahannya. audisp-remote juga menyediakan otentikasi dan enkripsi Kerberos, sehingga berfungsi dengan baik sebagai transportasi yang aman. Menggunakan audisp-remote, Anda akan mengirim pesan audit menggunakan audispd ke server audisp-remote yang berjalan di server syslog pusat Anda. Audisp-remote kemudian akan menggunakan plugin syslog audispd untuk memasukkan mereka ke dalam syslog dameon.

Tetapi ada metode lain! rsyslog sangat kuat! rsyslog juga menawarkan enkripsi Kerberos, plus TLS. Pastikan sudah dikonfigurasi dengan aman.

lamawithonel
sumber
Apakah ada masalah keamanan dengan meneruskan audisp ke server rsyslog lokal, lalu meminta server rsyslog lokal diteruskan ke server rsyslog agregator jarak jauh (menggunakan TLS?)
2rs2ts
3

Anda dapat login langsung ke syslog menggunakan audisp, itu bagian dari paket Audit. Di Debian (saya belum mencoba distro lain) sunting di:

/etc/audisp/plugins.d/syslog.conf

dan mengatur active=yes.

Diego Woitasen
sumber