Saya menjalankan beberapa sistem berbasis RHEL yang memanfaatkan fungsionalitas audit dalam kernel 2.6 untuk melacak aktivitas pengguna dan saya perlu mengirimkan log-log ini ke server SYSLOG terpusat untuk pemantauan dan korelasi acara. Adakah yang tahu bagaimana mencapainya?
13
Jawaban:
Edit: 11/17/14
Jawaban ini mungkin masih berfungsi, tetapi pada tahun 2014, menggunakan plugin Audisp adalah jawaban yang lebih baik.
Jika Anda menjalankan server sslog stock ksyslogd saya tidak tahu bagaimana melakukan ini. Tetapi ada instruksi bagus untuk melakukannya dengan rsyslog di Wiki mereka . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )
Saya akan meringkas:
Pada klien pengirim (
rsyslog.conf
):Perhatikan bahwa
imfile
modul harus sudah dimuat sebelumnya dalam konfigurasi rsyslog. Ini adalah garis yang bertanggung jawab untuk itu:Jadi periksa apakah ada di
rsyslog.conf
file Anda . Jika tidak ada, tambahkan di bawah### MODULES ###
bagian untuk mengaktifkan modul ini; jika tidak, konfigurasi di atas untuk logging auditd tidak akan berfungsi.Di server penerima (
rsyslog.conf
):Mulai ulang layanan (
service rsyslog restart
) pada kedua host dan Anda harus mulai menerimaauditd
pesan.sumber
Metode yang paling aman dan benar adalah dengan menggunakan plugin audispd syslog dan / atau audisp-remote .
Untuk membuatnya cepat berfungsi, Anda dapat mengedit /etc/audisp/plugins.d/syslog.conf . RHEL menyertakan ini secara default, meskipun dinonaktifkan. Anda hanya perlu mengubah satu baris untuk mengaktifkannya, aktif = ya .
Tapi ini tidak terlalu aman secara default; syslog adalah protokol tidak aman pada dasarnya, tidak terenkripsi, tidak terauthentikasi dan dalam spesifikasi UDP aslinya, sama sekali tidak dapat diandalkan. Ini juga menyimpan banyak informasi dalam file tidak aman. Sistem Audit Linux menangani informasi yang lebih sensitif daripada yang biasanya dikirim ke syslog, maka pemisahannya. audisp-remote juga menyediakan otentikasi dan enkripsi Kerberos, sehingga berfungsi dengan baik sebagai transportasi yang aman. Menggunakan audisp-remote, Anda akan mengirim pesan audit menggunakan audispd ke server audisp-remote yang berjalan di server syslog pusat Anda. Audisp-remote kemudian akan menggunakan plugin syslog audispd untuk memasukkan mereka ke dalam syslog dameon.
Tetapi ada metode lain! rsyslog sangat kuat! rsyslog juga menawarkan enkripsi Kerberos, plus TLS. Pastikan sudah dikonfigurasi dengan aman.
sumber
Anda dapat login langsung ke syslog menggunakan audisp, itu bagian dari paket Audit. Di Debian (saya belum mencoba distro lain) sunting di:
dan mengatur
active=yes
.sumber