Esta página foi traduzida pela API Cloud Translation.

Recolha registos de auditoria do Linux e do sistema Unix

Suportado em:

Google secops SIEM

Este documento descreve como recolher o daemon de auditoria (auditd) e os registos do sistema Unix, e usar o encaminhador do Google Security Operations para carregar registos para o Google SecOps.

Os procedimentos neste documento foram testados no Debian 11.7 e no Ubuntu 22.04 LTS (Jammy Jellyfish).

Recolha registos do auditd e do syslog

Pode configurar hosts Linux para enviar registos auditd para um encaminhador do Google SecOps usando o rsyslog.

Implemente o daemon de auditoria e a estrutura de expedição de auditoria:
```
apt-get install auditd audispd-plugins
```
Se já implementou o daemon e a framework, ignore este passo.
Ative o registo de todos os comandos (incluindo utilizador e raiz) adicionando as seguintes linhas a /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Nota: se ativou as deteções organizadas de ameaças do Linux do Google SecOps, certifique-se de que está a usar a configuração auditdadequada
.
Reiniciar auditd:
```
service auditd restart
```

Configure o encaminhador do Google SecOps para o auditd

No encaminhador do Google SecOps, especifique o seguinte tipo de dados:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para mais informações, consulte o artigo Instale e configure o encaminhador do Google SecOps no Linux.

Configure o syslog

Verifique se os parâmetros no ficheiro /etc/audisp/plugins.d/syslog.conf correspondem aos seguintes valores:
```
active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string
```
Modifique ou crie o ficheiro /etc/rsyslog.d/50-default.conf e adicione a seguinte linha no final do ficheiro:
```
local6.* @@FORWARDER_IP:PORT
```
Substitua <var>FORWARDER_IP</var> e <var>PORT</var> pelo endereço IP e pela porta do encaminhador.
- A primeira coluna indica que registos são enviados de /var/log através do rsyslog.
- O @@ indica que o TCP é usado para enviar a mensagem. Para usar o UDP, use um @.
Desative o registo local no syslog: adicione local6.none à linha que configura o registo local do syslog. O caminho varia consoante o SO:
- Debian: /etc/rsyslog.conf
- Ubuntu: /etc/rsyslog.d/50-default.conf
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Reinicie os seguintes serviços:

service auditd restart
service rsyslog restart

Recolha registos de sistemas Unix

Crie ou modifique o ficheiro /etc/rsyslog.d/50-default.conf e adicione a seguinte linha no final do ficheiro:
```
*.* @@FORWARDER_IP:PORT
```
Substitua <var>FORWARDER_IP</var> e <var>PORT</var> pelo endereço IP e pela porta do encaminhador.
Execute o seguinte comando para reiniciar o daemon e carregar a nova configuração:
```
sudo service rsyslog restart
```

Configure o encaminhador do Google SecOps para registos Unix

No encaminhador do Google SecOps, especifique o seguinte tipo de dados:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para mais informações, consulte o artigo Instale e configure o encaminhador do Google SecOps no Linux.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.