Gửi nhật ký kiểm toán đến máy chủ SYSLOG

Tôi đang chạy một số hệ thống dựa trên RHEL sử dụng chức năng kiểm toán trong nhân 2.6 để theo dõi hoạt động của người dùng và tôi cần gửi các nhật ký này đến các máy chủ SYSLOG tập trung để theo dõi và tương quan sự kiện. Bất cứ ai biết làm thế nào để đạt được điều này?

Chỉnh sửa: 17/11/14

Câu trả lời này có thể vẫn hoạt động, nhưng vào năm 2014, sử dụng plugin Audisp là câu trả lời tốt hơn.

Nếu bạn đang chạy máy chủ syslog stock ksyslogd, tôi không biết làm thế nào để làm điều này. Nhưng có những hướng dẫn tuyệt vời để làm điều đó với rsyslog tại Wiki của họ . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Tôi sẽ tóm tắt:

• Trên máy khách gửi ( rsyslog.conf):

  # kiểm toán kiểm toán.log  
  $ InputFileName /var/log/audit/audit.log  
  $ InputFileTag tag_audit_log:  
  $ InputFileStateFile Aud_log  
  $ InputFileSeverity thông tin  
  $ InputFileFacility local6  
  $ InputRunFileMonitor
  

  Lưu ý rằng imfilemô-đun sẽ cần phải được tải trước đó trong cấu hình rsyslog. Đây là dòng chịu trách nhiệm cho điều đó:

  $ ModLoad imfile

  Vì vậy, kiểm tra nếu nó trong rsyslog.conftập tin của bạn . Nếu nó không ở đó, hãy thêm nó dưới ### MODULES ###phần để kích hoạt mô-đun này; mặt khác, cấu hình trên để ghi nhật ký audd sẽ không hoạt động.

• Trên máy chủ nhận ( rsyslog.conf):

  $ mẫu HostAudit, "/ var / log / rsyslog /% HOSTNAME% / aud_log"  
  địa phương6. *
  

Khởi động lại dịch vụ ( service rsyslog restart) trên cả hai máy chủ và bạn sẽ bắt đầu nhận auditdtin nhắn.

Phương pháp an toàn và chính xác nhất là sử dụng plugin syslog audispd và / hoặc audisp-remote .

Để nhanh chóng làm cho nó hoạt động, bạn có thể chỉnh sửa /etc/audisp/plugins.d/syslog.conf . RHEL bao gồm điều này theo mặc định, mặc dù nó bị vô hiệu hóa. Bạn chỉ cần thay đổi một dòng để kích hoạt nó, kích hoạt = có .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Nhưng điều này không an toàn theo mặc định; syslog là một giao thức không an toàn tại cơ sở của nó, không được mã hóa, không được xác thực và trong đặc tả UDP ban đầu của nó, hoàn toàn không đáng tin cậy. Nó cũng lưu trữ rất nhiều thông tin trong các tập tin không an toàn. Hệ thống Kiểm toán Linux xử lý nhiều thông tin nhạy cảm hơn thường được gửi tới syslog, do đó nó bị tách ra. audisp-remote cũng cung cấp xác thực và mã hóa Kerberos, vì vậy nó hoạt động tốt như một phương tiện vận chuyển an toàn. Sử dụng audisp-remote, bạn sẽ gửi tin nhắn kiểm toán bằng audispd đến một máy chủ từ xa audispd chạy trên máy chủ syslog trung tâm của bạn. Sau đó, audisp-remote sẽ sử dụng plugin syslog audispd để đưa chúng vào syslog dameon.

Nhưng có những phương pháp khác! rsyslog rất mạnh mẽ! rsyslog cũng cung cấp mã hóa Kerberos, cộng với TLS. Chỉ cần chắc chắn rằng nó được cấu hình an toàn.

Bạn có thể đăng nhập trực tiếp vào syslog bằng audisp, đây là một phần của gói Audit. Trong Debian (tôi chưa thử trong các bản phát hành khác) chỉnh sửa trong:

/etc/audisp/plugins.d/syslog.conf

và thiết lập active=yes.