Splunk Forwarder - Monitoramento / Captura de Eventos Específicos?

Question

Splunk Forwarder - Monitoramento / Captura de Eventos Específicos?

#1 resposta do (0 votos)

0

Executando atualmente o CentOS7.

No momento, estou com um problema com os encaminhadores splunk. Preciso monitorar o seguinte para todas as máquinas Linux. Alguns dos itens a seguir só podem ser aplicados a máquinas com Windows (que também estou monitorando, mas ainda postando para ver se é algo que pode ser feito "

Negações de acesso a arquivos

"o google mencionou algo sobre o uso de 'auditd' para essa parte?"

Negações de Logon

Alterações do grupo de segurança

"pode ser apenas uma coisa do windows"

Alterações na Política de Grupo

"também pode ser apenas uma coisa do windows"

Ativando / Desativando (Adicionar / Remover) de contas de usuário

Alterações de permissões de arquivos / pastas / e diretórios

User Logons / User Logoffs

Sei que a linha que preciso adicionar é "/ opt / splunkforwarder / bin / splunk adicionar monitor", seguida do caminho para logs específicos. Eu atualmente tenho monitoramento / var / log / "simples o suficiente" para capturar todo o resto. Mas se todos vocês já tiveram alguma experiência usando o Splunk Forwarders, deixe-me saber o que você pensa.

Obrigado por quaisquer leads / ajuda

monitoring logs

por Atlas_ 12.10.2016 / 20:24

1 resposta

Tags monitoring logs

Problema de instalação de pacotes Python Posição relativa do touchpad

score 0 · Answer 1

Descobrir isso pode ser feito configurando o arquivo audit.rules encontrado /etc/audit/rules.d/audit.rules. Vou postar o arquivo de configuração, pois pode ser útil para os futuros usuários encontrarem o mesmo problema. Informações coletadas de goo.gl/AVuCjn A única coisa que preciso fazer agora é configurar o encaminhador de splunk para capturar essa informação agora.

NOTA-SE VOCÊ TIVER UM SISTEMA DE 32 BITS, DEVE MUDAR b64-> b32 USE "% s / b64 / b32 /"

Este arquivo contém as regras de auditctl que são carregadas

sempre que o daemon de auditoria é iniciado por meio dos initscripts.

As regras são simplesmente os parâmetros que seriam passados

para auditctl.

Primeira regra - excluir todos

-D

Aumenta os buffers para sobreviver a eventos de estresse.

Tornar isso maior para sistemas ocupados

-b 1024

Sinta-se à vontade para adicionar abaixo desta linha. Veja a página man do auditctl

Registre eventos que modifiquem as informações da conta

-w / etc / group -p wa -k identidade -w / etc / passwd -p wa -k identidade -w / etc / gshadow -p wa -k identidade -w / etc / shadow -p wa -k identidade -w / etc / security / opasswd -p wa -k identidade

Registra eventos que modificam a configuração da rede

-a exit, sempre -F arch = b64 -S sethostname -S setdomainname -k system-locale -w / etc / issue -p wa -k system-locale -w /etc/issue.net -p wa -k system-locale -w / etc / hosts -p wa -k system-locale -w / etc / sysconfig / rede -p wa -k system-locale

Registre eventos de logon e logout

-w / var / log / faillog -p wa -k logins -w / var / log / lastlog -p wa -k logins

Registre informações de inicialização de processos e sessões

-w / var / run / utmp -p wa -k sessão -w / var / log / btmp -p wa -k sessão -w / var / log / wtmp -p wa -k sessão

Registre eventos de modificação de permissão de controle de acesso discricionário

-a sempre, sair -F arq = b64 -S chmod -S fchmod -S fchmodat -F auid > = 500 -F auid! = 4294967295 -k perm_mod

Registre eventos de modificação de permissão de controle de acesso discricionário

-a sempre, saída -F arq = b64 -S chmod -S fchmod -S fchmodat -F auid > = 500 -F auid! = 4294967295 -k perm_mod -a sempre, sair -F arco = b64 -S chown -S fchown -S fchownat -S lchown -F auid > = 500 -F auid! = 4294967295 -k perm_mod -a sempre, sair -F arcos = b64 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid > = 500 -F auid! = 4294967295 -k perm_mod

Registrar tentativas de acesso não autorizado a arquivos sem êxito

-a sempre, saída -F arco = b64 -S cria -S aberto -S openat -S truncar -S ftruncate \ -F exit = -EACCES -F auid > = 500 -F auid! = 4294967295 -k acesso -a sempre, sair -F arco = b64 -S cria -S aberto -S aberto -S truncar -Struncar \ -F exit = -EPERM -F auid > = 500 -F auid! = 4294967295 -k acesso

Registrar informações sobre exportação para mídia (com êxito)

-a sempre, saída -F arco = b64 -S montagem -F auid > = 500 -F auid! = 4294967295 -k exportação

Registre os eventos de exclusão de arquivos por usuário (com sucesso e sem sucesso)

-a sempre, sair -F ar = b64 -S desassociar -S unlinkat -S renomear -S renomear -F auid > = 500 \ -F auid! = 4294967295 -k delete

Registrar ações do administrador do sistema

-w / etc / sudoers -p ações -k

Registra informações no carregamento e descarregamento do módulo do kernel

-w / sbin / insmod -p x -k modules -w / sbin / rmmod -p x -k modules -w / sbin / modprobe -p x -k modules -a sempre, saia -S init_module -S delete_module -k modules