การส่งบันทึกการตรวจสอบไปยังเซิร์ฟเวอร์ SYSLOG

13

ฉันใช้หลายระบบที่ใช้ RHEL ซึ่งใช้ฟังก์ชั่นการตรวจสอบภายในเคอร์เนล 2.6 เพื่อติดตามกิจกรรมของผู้ใช้และฉันจำเป็นต้องส่งบันทึกเหล่านี้ไปยังเซิร์ฟเวอร์ SYSLOG ส่วนกลางเพื่อการตรวจสอบและความสัมพันธ์ของเหตุการณ์ ใครรู้วิธีการบรรลุนี้

— syn-
แหล่งที่มา

นอกจากนี้ฉันขอแนะนำให้ตรวจสอบ CIS Benchmark สำหรับ RHEL 5.0 / 5.1 สำหรับคำแนะนำในการทำให้การตรวจสอบมีประโยชน์มากขึ้น

— Scott Pack

@packs - คุณมีลิงค์ที่มีประโยชน์ไหม? ฉันสนใจ ..

— Aaron Copley

1

@Aaron - คุณสามารถเริ่มต้นที่นี่cisecurity.org/en-us/?route=downloads.multiform ยกเว้นว่าองค์กรของคุณเป็นสมาชิกคุณจะยอมรับใบอนุญาต

— Scott Pack

@packs - ขอบคุณ! นั่นเป็นเหตุผลที่ฉันไม่สามารถค้นหาได้อย่างง่ายดาย (ฉันจะต้องลงทะเบียน)

— Aaron Copley

9

แก้ไข: 11/17/14

คำตอบนี้อาจยังใช้งานได้ แต่ในปี 2014 การใช้ปลั๊กอิน Audispเป็นคำตอบที่ดีกว่า

หากคุณกำลังเรียกใช้เซิร์ฟเวอร์ ksyslogd syslog หุ้นฉันไม่ทราบวิธีการทำเช่นนี้ แต่มีคำแนะนำที่ดีสำหรับการทำมันด้วย rsyslog ที่พวกเขาวิกิพีเดีย ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

ฉันจะสรุป:

บนไคลเอนต์ที่ส่ง ( rsyslog.conf):
```
# auditd audit.log  
$ InputFileName /var/log/audit/audit.log  
$ InputFileTag tag_audit_log:  
$ InputFileStateFile audit_log  
ข้อมูล $ InputFileSeverity  
$ InputFileFacility local6  
$ InputRunFileMonitor
```
โปรดทราบว่าimfileโมดูลจะต้องถูกโหลดก่อนหน้านี้ในการกำหนดค่า rsyslog นี่คือสายที่รับผิดชอบในการที่:
```
$ ModLoad imfile
```
ดังนั้นตรวจสอบว่ามันอยู่ในrsyslog.confไฟล์ของคุณหรือไม่ หากไม่มีอยู่ให้เพิ่มลงใน### MODULES ###ส่วนเพื่อเปิดใช้งานโมดูลนี้ มิฉะนั้นการกำหนดค่าข้างต้นสำหรับการบันทึก auditd จะไม่ทำงาน

บนเซิร์ฟเวอร์ที่รับ ( rsyslog.conf):

$ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
local6. *

เริ่มบริการ ( service rsyslog restart) ใหม่ทั้งสองโฮสต์และคุณควรเริ่มรับauditdข้อความ

— Aaron Copley
แหล่งที่มา

น่าเสียดายที่ syslog (แต่สำหรับเหตุผลที่ยอมรับได้) ไม่ใช่ตัวเลือกเอาต์พุตที่มี auditd ดังนั้นคุณต้องทำสิ่งนี้

— Scott Pack

เพียง FYI สำหรับคนอื่นตั้งค่านี้สายการตั้งค่าที่จำเป็นสำหรับการโหลด imfile คือ: "$ ModLoad imfile" ข้อมูลเพิ่มเติมเกี่ยวกับโมดูลที่สามารถพบได้ที่นี่: rsyslog.com/doc/imfile.html

— syn-

1

หากคุณใช้งานเซิร์ฟเวอร์ที่กำลังทำงาน / ไม่ว่างและกำลังส่งบันทึกนี่ไม่ใช่วิธีที่มีประสิทธิภาพในการทำเช่นนี้ .. imfileใช้ประโยชน์จากการทำโพลโดยที่ cpu ของคุณจะเสียเวลาไปกับการดูไฟล์ ..

— Arenstar

14

วิธีที่ปลอดภัยและถูกต้องที่สุดคือการใช้ audispd syslog ปลั๊กอินและ / หรือaudisp ระยะไกล

ได้อย่างรวดเร็วได้รับมันทำงานคุณสามารถแก้ไข /etc/audisp/plugins.d/syslog.conf RHEL รวมถึงสิ่งนี้ตามค่าเริ่มต้นแม้ว่าจะถูกปิดใช้งาน คุณต้องการเพียงเปลี่ยนหนึ่งบรรทัดเพื่อเปิดใช้งาน, การใช้งาน = ใช่

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

แต่นี่ไม่ใช่ค่าเริ่มต้นที่ปลอดภัยมาก syslog เป็นโปรโตคอลที่ไม่ปลอดภัยที่ฐานซึ่งไม่ได้เข้ารหัสไม่ได้รับการรับรองความถูกต้องและอยู่ในสเปค UDP ดั้งเดิมซึ่งไม่น่าเชื่อถืออย่างสมบูรณ์ มันยังเก็บข้อมูลจำนวนมากในไฟล์ที่ไม่ปลอดภัย ระบบตรวจสอบ Linux จัดการข้อมูลที่ละเอียดอ่อนกว่าปกติแล้วจะถูกส่งไปยัง syslog ดังนั้นจึงเป็นการแยกออกจากกัน audisp-remote ยังให้การพิสูจน์ตัวตนและการเข้ารหัส Kerberos ดังนั้นจึงทำงานได้ดีเช่นเดียวกับการส่งผ่านที่ปลอดภัย การใช้ audisp-remote คุณจะส่งข้อความการตรวจสอบโดยใช้ audispd ไปยังเซิร์ฟเวอร์ audisp-remote ที่ทำงานบนเซิร์ฟเวอร์กลาง syslog ของคุณ audisp-remote จะใช้ปลั๊กอิน audispd syslog เพื่อป้อนลงใน syslog dameon

แต่มีวิธีอื่น! rsyslog แข็งแกร่งมาก! rsyslog ยังมีการเข้ารหัส Kerberos รวมถึง TLS เพียงตรวจสอบให้แน่ใจว่าได้กำหนดค่าอย่างปลอดภัย

— lamawithonel
แหล่งที่มา

มีความกังวลด้านความปลอดภัยหรือไม่หากมีการส่งต่อออดิโอไปยังเซิร์ฟเวอร์ rsyslog ในพื้นที่จากนั้นให้เซิร์ฟเวอร์ rsyslog ในพื้นที่ส่งต่อไปยังเซิร์ฟเวอร์รวบรวมข้อมูลระยะไกล rsyslog (โดยใช้ TLS)

— 2rs2ts

3

คุณสามารถเข้าสู่ syslog โดยตรงโดยใช้ audisp เป็นส่วนหนึ่งของแพ็คเกจตรวจสอบ ใน Debian (ฉันยังไม่ได้ลอง distros อื่น ๆ ) แก้ไขใน:

/etc/audisp/plugins.d/syslog.conf

active=yesและการตั้งค่า

— Diego Woitasen
แหล่งที่มา