Gửi nhật ký kiểm toán đến máy chủ SYSLOG


13

Tôi đang chạy một số hệ thống dựa trên RHEL sử dụng chức năng kiểm toán trong nhân 2.6 để theo dõi hoạt động của người dùng và tôi cần gửi các nhật ký này đến các máy chủ SYSLOG tập trung để theo dõi và tương quan sự kiện. Bất cứ ai biết làm thế nào để đạt được điều này?


Bên cạnh đó, tôi khuyên bạn nên kiểm tra Điểm chuẩn CIS cho RHEL 5.0 / 5.1 để biết một số lời khuyên về việc làm cho việc kiểm toán trở nên hữu ích hơn.
Scott Pack

@packs - Bạn có một liên kết tiện dụng? Tôi quan tâm ..
Aaron Copley

1
@Aaron - Bạn có thể bắt đầu ở đây cisecurity.org/en-us/?route=doads.multiform . Trừ khi tổ chức của bạn là thành viên, bạn sẽ chấp nhận giấy phép.
Scott Pack

@packs - Cảm ơn! Đó là lý do tại sao tôi không thể tìm thấy nó dễ dàng như vậy. (Tôi sẽ phải đăng ký.)
Aaron Copley

Câu trả lời:


9

Chỉnh sửa: 17/11/14

Câu trả lời này có thể vẫn hoạt động, nhưng vào năm 2014, sử dụng plugin Audisp là câu trả lời tốt hơn.


Nếu bạn đang chạy máy chủ syslog stock ksyslogd, tôi không biết làm thế nào để làm điều này. Nhưng có những hướng dẫn tuyệt vời để làm điều đó với rsyslog tại Wiki của họ . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Tôi sẽ tóm tắt:

  • Trên máy khách gửi ( rsyslog.conf):

    # kiểm toán kiểm toán.log  
    $ InputFileName /var/log/audit/audit.log  
    $ InputFileTag tag_audit_log:  
    $ InputFileStateFile Aud_log  
    $ InputFileSeverity thông tin  
    $ InputFileFacility local6  
    $ InputRunFileMonitor
    

    Lưu ý rằng imfilemô-đun sẽ cần phải được tải trước đó trong cấu hình rsyslog. Đây là dòng chịu trách nhiệm cho điều đó:

    $ ModLoad imfile

    Vì vậy, kiểm tra nếu nó trong rsyslog.conftập tin của bạn . Nếu nó không ở đó, hãy thêm nó dưới ### MODULES ###phần để kích hoạt mô-đun này; mặt khác, cấu hình trên để ghi nhật ký audd sẽ không hoạt động.

  • Trên máy chủ nhận ( rsyslog.conf):

    $ mẫu HostAudit, "/ var / log / rsyslog /% HOSTNAME% / aud_log"  
    địa phương6. *
    

Khởi động lại dịch vụ ( service rsyslog restart) trên cả hai máy chủ và bạn sẽ bắt đầu nhận auditdtin nhắn.


Thật không may, (nhưng vì một lý do có thể chấp nhận) syslog không phải là một tùy chọn đầu ra với audd, vì vậy bạn phải làm điều đó như thế này.
Scott Pack

Chỉ cần FYI cho bất kỳ ai khác thiết lập điều này, dòng cấu hình cần thiết để tải imfile là: "$ ModLoad imfile" Thông tin thêm về mô-đun có thể được tìm thấy ở đây: rsyslog.com/doc/imfile.html
syn-

1
Nếu bạn trên một máy chủ sản xuất / bận rộn và gửi nhật ký, thì đây không phải là cách hiệu quả để làm việc này .. imfile sử dụng bỏ phiếu, theo đó các chu kỳ cpu lãng phí của bạn luôn để xem tệp ..
Arenstar

14

Phương pháp an toàn và chính xác nhất là sử dụng plugin syslog audispd và / hoặc audisp-remote .

Để nhanh chóng làm cho nó hoạt động, bạn có thể chỉnh sửa /etc/audisp/plugins.d/syslog.conf . RHEL bao gồm điều này theo mặc định, mặc dù nó bị vô hiệu hóa. Bạn chỉ cần thay đổi một dòng để kích hoạt nó, kích hoạt = có .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Nhưng điều này không an toàn theo mặc định; syslog là một giao thức không an toàn tại cơ sở của nó, không được mã hóa, không được xác thực và trong đặc tả UDP ban đầu của nó, hoàn toàn không đáng tin cậy. Nó cũng lưu trữ rất nhiều thông tin trong các tập tin không an toàn. Hệ thống Kiểm toán Linux xử lý nhiều thông tin nhạy cảm hơn thường được gửi tới syslog, do đó nó bị tách ra. audisp-remote cũng cung cấp xác thực và mã hóa Kerberos, vì vậy nó hoạt động tốt như một phương tiện vận chuyển an toàn. Sử dụng audisp-remote, bạn sẽ gửi tin nhắn kiểm toán bằng audispd đến một máy chủ từ xa audispd chạy trên máy chủ syslog trung tâm của bạn. Sau đó, audisp-remote sẽ sử dụng plugin syslog audispd để đưa chúng vào syslog dameon.

Nhưng có những phương pháp khác! rsyslog rất mạnh mẽ! rsyslog cũng cung cấp mã hóa Kerberos, cộng với TLS. Chỉ cần chắc chắn rằng nó được cấu hình an toàn.


Có bất kỳ mối quan tâm bảo mật nào khi có audisp tới máy chủ rsyslog cục bộ không, sau đó có máy chủ rsyslog cục bộ chuyển tiếp đến máy chủ rsyslog tổng hợp từ xa (sử dụng TLS?)
2rs2ts

3

Bạn có thể đăng nhập trực tiếp vào syslog bằng audisp, đây là một phần của gói Audit. Trong Debian (tôi chưa thử trong các bản phát hành khác) chỉnh sửa trong:

/etc/audisp/plugins.d/syslog.conf

và thiết lập active=yes.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.