Linux 監査と Unix システムログを収集する

以下でサポートされています。

このドキュメントでは、監査デーモン(auditd)と Unix システムログを収集し、Google Security Operations フォワーダーを使用して Google SecOps にログを取り込む方法について説明します。

このドキュメントの手順は、Debian 11.7 と Ubuntu 22.04 LTS(Jammy Jellyfish)でテストされています。

auditd と syslog からログを収集する

rsyslog を使用して、auditd ログを Google SecOps フォワーダーに送信するように Linux ホストを構成できます。

  1. 監査デーモンと監査ディスパッチ フレームワークをデプロイします。

    apt-get install auditd audispd-plugins

    デーモンとフレームワークをすでにデプロイしている場合は、この手順をスキップできます。

  2. /etc/audit/rules.d/audit.rules に次の行を追加して、ユーザーとルートを含むすべてのコマンドのロギングを有効にします。

    -a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve

  3. auditd を再起動します。

    service auditd restart

auditd 用に Google SecOps フォワーダーを構成する

Google SecOps フォワーダーで、次のデータ型を指定します。

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

詳細については、Linux に Google SecOps フォワーダーをインストールして構成するをご覧ください。

syslog を構成する

  1. /etc/audisp/plugins.d/syslog.conf ファイルのパラメータが次の値と一致していることを確認します。

    active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

  2. /etc/rsyslog.d/50-default.conf ファイルを変更または作成し、ファイルの末尾に次の行を追加します。

    local6.* @@FORWARDER_IP:PORT

    <var>FORWARDER_IP</var><var>PORT</var> は、フォワーダーの IP アドレスとポートに置き換えます。

    • 最初の列は、rsyslog 経由で /var/log から送信されるログを示します。
    • @@ は、TCP を使用してメッセージを送信することを示します。UDP を使用するには、@ を 1 つ使用します。

  3. syslog へのローカル ロギングを無効にする: ローカル syslog ロギングを構成する行に local6.none を追加します。パスは OS によって異なります。

    • Debian: /etc/rsyslog.conf
    • Ubuntu: /etc/rsyslog.d/50-default.conf
    *.*;local6.none;auth,authpriv.none              -/var/log/syslog

  4. 次のサービスを再起動します。

    service auditd restart
service rsyslog restart

Unix システムログを収集する

  1. /etc/rsyslog.d/50-default.conf ファイルを作成または変更して、ファイルの末尾に次の行を追加します。

    *.* @@FORWARDER_IP:PORT

  2. <var>FORWARDER_IP</var><var>PORT</var> は、フォワーダーの IP アドレスとポートに置き換えます。

  3. 次のコマンドを実行して、デーモンを再起動し、新しい構成を読み込みます。

    sudo service rsyslog restart

Unix ログ用に Google SecOps フォワーダーを構成する

Google SecOps フォワーダーで、次のデータ型を指定します。

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

詳細については、Linux に Google SecOps フォワーダーをインストールして構成するをご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。