Enviando logs de auditoria para o servidor SYSLOG

12

Estou executando vários sistemas baseados no RHEL que utilizam a funcionalidade de auditoria dentro do kernel 2.6 para rastrear a atividade do usuário e preciso que esses logs sejam enviados para servidores SYSLOG centralizados para monitoramento e correlação de eventos. Alguém sabe como conseguir isso?

    
por syn- 15.11.2010 / 16:51

3 respostas

9

Edit: 11/17/14

Esta resposta ainda pode funcionar, mas em 2014, usando o plug-in Audisp é a melhor resposta.

Se você estiver executando o servidor syslog ksyslogd, não sei como fazer isso. Mas há ótimas instruções para fazer isso com o rsyslog em seu Wiki . ( link )

Vou resumir:

  • No cliente de envio ( rsyslog.conf ):

    # auditd audit.log  
    $InputFileName /var/log/audit/audit.log  
    $InputFileTag tag_audit_log:  
    $InputFileStateFile audit_log  
    $InputFileSeverity info  
    $InputFileFacility local6  
    $InputRunFileMonitor
    

    Observe que o módulo imfile precisará ser carregado anteriormente na configuração do rsyslog. Esta é a linha responsável por isso:

    $ModLoad imfile

    Portanto, verifique se está no arquivo rsyslog.conf . Se não estiver lá, adicione-o na seção ### MODULES ### para ativar este módulo; caso contrário, a configuração acima para o log de auditoria não funcionará.

  • No servidor de recebimento ( rsyslog.conf ):

    $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log"  
    local6.*
    

Reinicie o serviço ( service rsyslog restart ) nos dois hosts e você deve começar a receber auditd messages.

    
por 15.11.2010 / 17:23
13

O método mais seguro e correto é usar o audispd Plugin syslog e / ou audisp-remote .

Para que ele funcione rapidamente, você pode editar o /etc/audisp/plugins.d/syslog.conf . O RHEL inclui isso por padrão, embora esteja desativado. Você só precisa alterar uma linha para ativá-la, active = yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Mas isso não é muito seguro por padrão; O syslog é um protocolo inseguro em sua base, não criptografado, não autenticado e em sua especificação UDP original, completamente não confiável. Também armazena muitas informações em arquivos inseguros. O Sistema de Auditoria do Linux lida com informações mais confidenciais do que as normalmente enviadas ao syslog, portanto, é uma separação. O audisp-remote também fornece autenticação e criptografia do Kerberos, portanto funciona bem como um transporte seguro. Usando o audisp-remote, você envia mensagens de auditoria usando o audispd para um servidor remoto audisp em execução no servidor syslog central. O audisp-remote usaria então o plug-in syslog audispd para alimentá-los no dameon do syslog.

Mas existem outros métodos! O rsyslog é muito robusto! O rsyslog também oferece criptografia Kerberos, além de TLS. Apenas certifique-se de que está configurado de forma segura.

    
por 28.06.2012 / 17:33
3

Você pode fazer login diretamente no syslog usando o audisp, ele faz parte do pacote de Auditoria. No Debian (ainda não tentei em outras distros) edite em:

/etc/audisp/plugins.d/syslog.conf

e defina active=yes .

    
por 24.10.2011 / 19:42