GNU/Linux >> Belajar Linux >  >> Linux

Mengirim log audit ke server SYSLOG

Solusi 1:

Metode yang paling aman dan benar adalah dengan menggunakan plugin audispd syslog dan/atau audisp-remote.

Agar berfungsi dengan cepat Anda dapat mengedit /etc/audisp/plugins.d/syslog.conf . RHEL menyertakan ini secara default, meskipun dinonaktifkan. Anda hanya perlu mengubah satu baris untuk mengaktifkannya, aktif =ya .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Tapi ini tidak terlalu aman secara default; syslog adalah protokol yang tidak aman pada dasarnya, tidak terenkripsi, tidak diautentikasi, dan dalam spesifikasi UDP aslinya, sama sekali tidak dapat diandalkan. Itu juga menyimpan banyak informasi dalam file yang tidak aman. Sistem Audit Linux menangani informasi yang lebih sensitif daripada yang biasanya dikirim ke syslog, oleh karena itu dipisahkan. audisp-remote juga menyediakan otentikasi dan enkripsi Kerberos, sehingga berfungsi dengan baik sebagai transportasi yang aman. Menggunakan audisp-remote, Anda akan mengirim pesan audit menggunakan audispd ke server audisp-remote yang berjalan di server syslog pusat Anda. Audisp-remote kemudian akan menggunakan plugin audispd syslog untuk memasukkannya ke dalam syslog dameon.

Tetapi ada metode lain! rsyslog sangat kuat! rsyslog juga menawarkan enkripsi Kerberos, plus TLS. Pastikan itu dikonfigurasi dengan aman.

Solusi 2:

Edit:17/11/14

Jawaban ini mungkin masih berfungsi, tetapi di tahun 2014, menggunakan plugin Audisp adalah jawaban yang lebih baik.

Jika Anda menjalankan server stock ksyslogd syslog, saya tidak tahu bagaimana melakukan ini. Tapi ada instruksi bagus untuk melakukannya dengan rsyslog di Wiki mereka. ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Saya akan meringkas:

  • Pada klien pengirim (rsyslog.conf ):

    # auditd audit.log  
    $InputFileName /var/log/audit/audit.log  
    $InputFileTag tag_audit_log:  
    $InputFileStateFile audit_log  
    $InputFileSeverity info  
    $InputFileFacility local6  
    $InputRunFileMonitor
    

    Perhatikan bahwa imfile modul harus dimuat sebelumnya dalam konfigurasi rsyslog. Ini adalah baris yang bertanggung jawab untuk itu:

    $ModLoad imfile

    Jadi periksa apakah itu ada di rsyslog.conf Anda mengajukan. Jika tidak ada, tambahkan di bawah ### MODULES ### bagian untuk mengaktifkan modul ini; jika tidak, konfigurasi untuk auditd logging di atas tidak akan berfungsi.

  • Di server penerima (rsyslog.conf ):

    $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log"  
    local6.*
    

Mulai ulang layanan (service rsyslog restart ) pada kedua host dan Anda akan mulai menerima auditd pesan.

Solusi 3:

Anda dapat masuk langsung ke syslog menggunakan audisp, ini bagian dari paket Audit. Di Debian (saya belum mencoba di distro lain) edit di:

/etc/audisp/plugins.d/syslog.conf

dan atur active=yes .


Linux
  1. Setup Rsyslog Server di Ubuntu 20.04 - Bagaimana cara melakukannya?

  2. Linux – Mengirim Input Teks ke Layar Terpisah?

  3. Cara mengirim Log Audit ke Server Rsyslog Jarak Jauh di CentOS/RHEL 6,7

  1. Melihat log di server linux jarak jauh

  2. (jaringan tidak dapat dijangkau) di log server saya

  3. Apa fasilitas syslog untuk log auditd?

  1. Cara Setup Server Rsyslog di Debian 11

  2. Siapkan Server SysLog di CentOS 6 / RHEL 6

  3. Setup Server RSyslog Terpusat Pada CentOS 7