Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux d'audit Linux et les journaux système Unix

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux du démon d'audit (auditd) et du système Unix, et comment utiliser le transmetteur Google Security Operations pour ingérer les journaux dans Google SecOps.

Les procédures décrites dans ce document ont été testées sur Debian 11.7 et Ubuntu 22.04 LTS (Jammy Jellyfish).

Collecter les journaux d'auditd et de syslog

Vous pouvez configurer des hôtes Linux pour qu'ils envoient des journaux auditd à un transmetteur Google SecOps à l'aide de rsyslog.

Déployez le daemon d'audit et le framework de répartition d'audit :
```
apt-get install auditd audispd-plugins
```
Si vous avez déjà déployé le daemon et le framework, ignorez cette étape.
Activez la journalisation de toutes les commandes (y compris celles des utilisateurs et de la racine) en ajoutant les lignes suivantes à /etc/audit/rules.d/audit.rules :
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Remarque : Si vous avez activé les détections sélectionnées des menaces Linux dans Google SecOps, assurez-vous d'utiliser la configuration auditd appropriée.
Redémarrez auditd :
```
service auditd restart
```

Configurer le redirecteur Google SecOps pour auditd

Sur le redirecteur Google SecOps, spécifiez le type de données suivant :

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Pour en savoir plus, consultez Installer et configurer le redirecteur Google SecOps sur Linux.

Configurer syslog

Vérifiez que les paramètres du fichier /etc/audisp/plugins.d/syslog.conf correspondent aux valeurs suivantes :
```
active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string
```
Modifiez ou créez le fichier /etc/rsyslog.d/50-default.conf, puis ajoutez la ligne suivante à la fin du fichier :
```
local6.* @@FORWARDER_IP:PORT
```
Remplacez <var>FORWARDER_IP</var> et <var>PORT</var> par l'adresse IP et le port de votre transmetteur.
- La première colonne indique les journaux envoyés depuis /var/log via rsyslog.
- @@ indique que le protocole TCP est utilisé pour envoyer le message. Pour utiliser UDP, utilisez un @.
Désactivez la journalisation locale dans syslog : ajoutez local6.none à la ligne qui configure la journalisation syslog locale. Le chemin d'accès varie selon l'OS :
- Debian : /etc/rsyslog.conf
- Ubuntu : /etc/rsyslog.d/50-default.conf
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Redémarrez les services suivants :

service auditd restart
service rsyslog restart

Collecter les journaux des systèmes Unix

Créez ou modifiez le fichier /etc/rsyslog.d/50-default.conf et ajoutez la ligne suivante à la fin du fichier :
```
*.* @@FORWARDER_IP:PORT
```
Remplacez <var>FORWARDER_IP</var> et <var>PORT</var> par l'adresse IP et le port de votre transmetteur.
Exécutez la commande suivante pour redémarrer le daemon et charger la nouvelle configuration :
```
sudo service rsyslog restart
```

Configurer le redirecteur Google SecOps pour les journaux Unix

Sur le redirecteur Google SecOps, spécifiez le type de données suivant :

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Pour en savoir plus, consultez Installer et configurer le redirecteur Google SecOps sur Linux.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.