Mengumpulkan log sistem Unix dan auditd Linux

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log sistem Unix dan daemon audit (auditd), serta menggunakan forwarder Google Security Operations untuk menyerap log ke Google SecOps.

Prosedur dalam dokumen ini telah diuji di Debian 11.7 dan Ubuntu 22.04 LTS (Jammy Jellyfish).

Mengumpulkan log dari auditd dan syslog

Anda dapat mengonfigurasi host Linux untuk mengirim log auditd ke penerus Google SecOps menggunakan rsyslog.

Deploy daemon audit dan framework pengiriman audit:
```
apt-get install auditd audispd-plugins
```
Jika Anda telah men-deploy daemon dan framework, lewati langkah ini.
Aktifkan logging semua perintah (termasuk pengguna dan root) dengan menambahkan baris berikut ke /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Catatan: Jika Anda mengaktifkan Deteksi yang dikurasi untuk Ancaman Linux di Google SecOps, pastikan Anda menggunakan konfigurasi auditd yang sesuai.
Mulai ulang auditd:
```
service auditd restart
```

Mengonfigurasi penerus Google SecOps untuk auditd

Di penerus Google SecOps, tentukan jenis data berikut:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Untuk mengetahui informasi selengkapnya, lihat Menginstal dan mengonfigurasi penerus Google SecOps di Linux.

Mengonfigurasi syslog

Pastikan parameter dalam file /etc/audisp/plugins.d/syslog.conf cocok dengan nilai berikut:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Ubah atau buat file /etc/rsyslog.d/50-default.conf, lalu tambahkan baris berikut di akhir file:
```
local6.* @@FORWARDER_IP:PORT
```
Ganti <var>FORWARDER_IP</var> dan <var>PORT</var> dengan alamat IP dan port penerusan Anda.
- Kolom pertama menunjukkan log mana yang dikirim dari /var/log melalui rsyslog.
- @@ menunjukkan bahwa TCP digunakan untuk mengirim pesan. Untuk menggunakan UDP, gunakan satu @.
Nonaktifkan logging lokal ke syslog: Tambahkan local6.none ke baris yang mengonfigurasi logging syslog lokal. Jalur bervariasi menurut OS:
- Debian: /etc/rsyslog.conf
- Ubuntu: /etc/rsyslog.d/50-default.conf
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Mulai ulang layanan berikut:

service auditd restart
service rsyslog restart

Mengumpulkan log sistem Unix

Buat atau ubah file /etc/rsyslog.d/50-default.conf, lalu tambahkan baris berikut di akhir file:
```
*.* @@FORWARDER_IP:PORT
```
Ganti <var>FORWARDER_IP</var> dan <var>PORT</var> dengan alamat IP dan port penerusan Anda.
Jalankan perintah berikut untuk memulai ulang daemon dan memuat konfigurasi baru:
```
sudo service rsyslog restart
```

Mengonfigurasi penerusan Google SecOps untuk log Unix

Di penerus Google SecOps, tentukan jenis data berikut:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Untuk mengetahui informasi selengkapnya, lihat Menginstal dan mengonfigurasi penerus Google SecOps di Linux.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.