Raccogliere i log di sistema Linux auditd e Unix

Supportato in:

Google secops SIEM

Questo documento descrive come raccogliere i log del sistema Unix e del daemon di controllo (auditd) e utilizzare il forwarder di Google Security Operations per importare i log in Google SecOps.

Le procedure descritte in questo documento sono state testate su Debian 11.7 e Ubuntu 22.04 LTS (Jammy Jellyfish).

Raccogliere i log da auditd e syslog

Puoi configurare gli host Linux in modo che inviino i log auditd a un forwarder Google SecOps utilizzando rsyslog.

Esegui il deployment del daemon di controllo e del framework di distribuzione del controllo:
```
apt-get install auditd audispd-plugins
```
Se hai già eseguito il deployment del daemon e del framework, salta questo passaggio.
Attiva la registrazione di tutti i comandi (inclusi quelli utente e root) aggiungendo le seguenti righe a /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Nota: se hai attivato Linux Threats curated detections di Google SecOps, assicurati di utilizzare la configurazione auditd appropriata.
Riavvia auditd:
```
service auditd restart
```

Configurare il forwarder Google SecOps per auditd

Nel forwarder Google SecOps, specifica il seguente tipo di dati:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Per saperne di più, consulta Installare e configurare il forwarder Google SecOps su Linux.

Configurare Syslog

Verifica che i parametri nel file /etc/audisp/plugins.d/syslog.conf corrispondano ai seguenti valori:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Modifica o crea il file /etc/rsyslog.d/50-default.conf e aggiungi la seguente riga alla fine del file:
```
local6.* @@FORWARDER_IP:PORT
```
Sostituisci <var>FORWARDER_IP</var> e <var>PORT</var> con l'indirizzo IP e la porta del tuo forwarder.
- La prima colonna indica quali log vengono inviati da /var/log tramite rsyslog.
- @@ indica che per l'invio del messaggio viene utilizzato TCP. Per utilizzare UDP, utilizza uno dei seguenti valori: @.
Disattiva il logging locale in syslog: aggiungi local6.none alla riga che configura il logging syslog locale. Il percorso varia in base al sistema operativo:
- Debian: /etc/rsyslog.conf
- Ubuntu: /etc/rsyslog.d/50-default.conf
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Riavvia i seguenti servizi:

service auditd restart
service rsyslog restart

Raccogliere i log dei sistemi Unix

Crea o modifica il file /etc/rsyslog.d/50-default.conf e aggiungi la seguente riga alla fine del file:
```
*.* @@FORWARDER_IP:PORT
```
Sostituisci <var>FORWARDER_IP</var> e <var>PORT</var> con l'indirizzo IP e la porta del tuo forwarder.
Esegui questo comando per riavviare il daemon e caricare la nuova configurazione:
```
sudo service rsyslog restart
```

Configura l'inoltro di Google SecOps per i log Unix

Nel forwarder Google SecOps, specifica il seguente tipo di dati:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Per saperne di più, consulta Installare e configurare il forwarder Google SecOps su Linux.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.