Senden von Überwachungsprotokollen an den SYSLOG-Server

13

Ich verwende mehrere RHEL-basierte Systeme, die die Audit-Funktionalität im 2.6-Kernel nutzen, um die Benutzeraktivität zu verfolgen. Diese Protokolle müssen zur Überwachung und zur Ereigniskorrelation an zentrale SYSLOG-Server gesendet werden. Weiß jemand, wie man das erreicht?

linux  syslog  redhat  audit 
syn-
quelle
Nebenbei empfehle ich, den CIS-Benchmark für RHEL 5.0 / 5.1 zu lesen, um Ratschläge zu erhalten, wie Sie auditd nützlicher machen können.
Scott Pack
@packs - Hast du einen Link zur Hand? Ich bin interessiert ..
Aaron Copley
1
@Aaron - Hier können Sie mit cisecurity.org/en-us/?route=downloads.multiform beginnen . Sofern Ihre Organisation kein Mitglied ist, akzeptieren Sie die Lizenz.
Scott Pack
@packs - Danke! Deshalb konnte ich es nicht so leicht finden. (Ich muss mich registrieren.)
Aaron Copley

Antworten:

9

Edit: 17.11.14

Diese Antwort funktioniert möglicherweise noch, aber im Jahr 2014 ist die Verwendung des Audisp-Plugins die bessere Antwort.

Wenn Sie den Standard-Syslog-Server ksyslogd verwenden, weiß ich nicht, wie das geht. Aber es gibt großartige Anweisungen dafür mit rsyslog in ihrem Wiki . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Ich werde zusammenfassen:

  • Auf dem sendenden Client ( rsyslog.conf): 

    # auditd audit.log  
$ InputFileName /var/log/audit/audit.log  
$ InputFileTag tag_audit_log:  
$ InputFileStateFile audit_log  
$ InputFileSeverity info  
$ InputFileFacility local6  
$ InputRunFileMonitor

    Beachten Sie, dass das imfileModul zuvor in die rsyslog-Konfiguration geladen werden muss. Dies ist die Zeile, die dafür verantwortlich ist:

    $ ModLoad imfile

    Überprüfen Sie also, ob es in Ihrer rsyslog.confDatei ist. Wenn es nicht vorhanden ist, fügen Sie es unter dem ### MODULES ###Abschnitt hinzu, um dieses Modul zu aktivieren. Andernfalls funktioniert die obige Konfiguration für die AuditD-Protokollierung nicht.

  • Auf dem empfangenden Server ( rsyslog.conf): 

    $ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
local6. *

Starten Sie den Dienst ( service rsyslog restart) auf beiden Hosts neu und Sie sollten mit dem Empfang von auditdNachrichten beginnen .

Aaron Copley
quelle
Leider ist syslog (aber aus akzeptablen Gründen) keine Ausgabeoption bei auditd, so dass Sie so etwas tun müssen.
Scott Pack
Die Konfigurationszeile, die zum Laden der Datei benötigt wird, lautet wie folgt: "$ ModLoad imfile" Weitere Informationen zum Modul finden Sie hier: rsyslog.com/doc/imfile.html
syn-
1
Wenn Sie sich auf einem produktiven / ausgelasteten Server befinden und Protokolle senden, ist dies keine effiziente Methode. IMFILE verwendet Polling, wobei Ihre CPU-Zyklen immer zum
Überwachen
14

Die sicherste und korrekteste Methode ist die Verwendung des audispd syslog-Plugins und / oder von audisp-remote .

Um es schnell zum Laufen zu bringen, können Sie /etc/audisp/plugins.d/syslog.conf bearbeiten . RHEL schließt dies standardmäßig ein, obwohl es deaktiviert ist. Sie müssen nur eine Zeile ändern, um sie zu aktivieren, active = yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Dies ist jedoch standardmäßig nicht sehr sicher. syslog ist ein unsicheres Protokoll an seiner Basis, unverschlüsselt, nicht authentifiziert und in seiner ursprünglichen UDP-Spezifikation völlig unzuverlässig. Außerdem werden viele Informationen in unsicheren Dateien gespeichert. Das Linux-Audit-System verarbeitet vertraulichere Informationen als normalerweise an Syslog gesendet, daher ist es eine Trennung. audisp-remote bietet auch Kerberos-Authentifizierung und -Verschlüsselung, sodass es als sicherer Transport gut funktioniert. Mit audisp-remote würden Sie mit audispd Überwachungsnachrichten an einen audisp-remote-Server senden, der auf Ihrem zentralen Syslog-Server ausgeführt wird. Die audisp-remote verwendet dann das audispd-syslog-Plugin, um sie in den syslog-dameon einzuspeisen.

Es gibt aber auch andere Methoden! rsyslog ist sehr robust! rsyslog bietet auch Kerberos-Verschlüsselung sowie TLS. Stellen Sie einfach sicher, dass es sicher konfiguriert ist.

Lamawithonel
quelle
Gibt es Sicherheitsbedenken mit mit audisp uns auf einem lokalen Server rsyslog, dann uns darauf , die lokale rsyslog Server mit zu einem Remote - Aggregator rsyslog - Server (unter Verwendung von TLS?)
2rs2ts
3

Sie können sich mit audisp direkt bei syslog anmelden. Dies ist Teil des Audit-Pakets. In Debian (ich habe es noch nicht in anderen Distributionen versucht) edit in:

/etc/audisp/plugins.d/syslog.conf

und setzen active=yes.

Diego Woitasen
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.