收集 Linux auditd 和 Unix 系统日志
本文档介绍了如何收集审核守护程序 (auditd) 和 Unix 系统日志,以及如何使用 Google Security Operations 转发器将日志注入到 Google SecOps。
本文档中的流程已在 Debian 11.7 和 Ubuntu 22.04 LTS (Jammy Jellyfish) 上进行了测试。
从 auditd 和 syslog 收集日志
您可以使用 rsyslog 将 Linux 主机配置为向 Google SecOps 转发器发送 auditd 日志。
部署审核守护程序和审核调度框架:
apt-get install auditd audispd-plugins
如果您已部署守护程序和框架,请跳过此步骤。
通过向
/etc/audit/rules.d/audit.rules添加以下行,启用所有命令(包括用户和根)的日志记录:-a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve
重启
auditd:service auditd restart
为 auditd 配置 Google SecOps 转发器
在 Google SecOps 转发器上,指定以下数据类型:
- syslog:
common:
enabled: true
data_type: AUDITD
batch_n_seconds:
batch_n_bytes:
tcp_address:
connection_timeout_sec:
如需了解详情,请参阅在 Linux 上安装和配置 Google SecOps 转发器。
配置 syslog
验证
/etc/audisp/plugins.d/syslog.conf文件中的参数是否与以下值匹配:active = yes direction = out path = /sbin/audisp-syslog type = always args = LOG_LOCAL6 format = string
修改或创建
/etc/rsyslog.d/50-default.conf文件,并在文件末尾添加以下行:local6.* @@
FORWARDER_IP:PORT将
<var>FORWARDER_IP</var>和<var>PORT</var>替换为转发器的 IP 地址和端口。- 第一列表示哪些日志是通过 rsyslog 从
/var/log发送的。 @@表示使用 TCP 发送消息。如需使用 UDP,请使用@。
- 第一列表示哪些日志是通过 rsyslog 从
停用本地 syslog 日志记录:向配置本地 syslog 日志记录的行添加
local6.none。路径因操作系统而异:- Debian:
/etc/rsyslog.conf - Ubuntu:
/etc/rsyslog.d/50-default.conf
*.*;local6.none;auth,authpriv.none -/var/log/syslog
- Debian:
重启以下服务:
service auditd restart service rsyslog restart
收集 Unix 系统日志
创建或修改
/etc/rsyslog.d/50-default.conf文件,并在文件末尾添加以下行:*.* @@
FORWARDER_IP:PORT将
<var>FORWARDER_IP</var>和<var>PORT</var>替换为转发器的 IP 地址和端口。运行以下命令以重启守护程序并加载新配置:
sudo service rsyslog restart
为 Unix 日志配置 Google SecOps 转发器
在 Google SecOps 转发器上,指定以下数据类型:
- syslog:
common:
enabled: true
data_type: NIX_SYSTEM
batch_n_seconds:
batch_n_bytes:
tcp_address:
connection_timeout_sec:
如需了解详情,请参阅在 Linux 上安装和配置 Google SecOps 转发器。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。