Esta página se ha traducido con Cloud Translation API.

Recopilar registros de auditd de Linux y del sistema Unix

Disponible en:

SecOps de Google SIEM

En este documento se describe cómo recoger registros del sistema Unix y del daemon de auditoría (auditd), así como usar el reenviador de Google Security Operations para ingerir registros en Google SecOps.

Los procedimientos de este documento se han probado en Debian 11.7 y Ubuntu 22.04 LTS (Jammy Jellyfish).

Recoger registros de auditd y syslog

Puedes configurar hosts Linux para que envíen registros auditd a un reenviador de Google SecOps mediante rsyslog.

Despliega el daemon de auditoría y el framework de envío de auditoría:
```
apt-get install auditd audispd-plugins
```
Si ya has implementado el daemon y el framework, puedes saltarte este paso.
Para habilitar el registro de todos los comandos (incluidos los de usuario y root), añade las siguientes líneas a /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Nota: Si has habilitado la opción Detecciones seleccionadas de amenazas de Linux de Google SecOps, asegúrate de usar la configuración de auditd adecuada.
Reiniciar auditd:
```
service auditd restart
```

Configurar el reenviador de Google SecOps para auditd

En el reenviador de Google SecOps, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Instalar y configurar el reenviador de Google SecOps en Linux.

Configurar syslog

Verifique que los parámetros del archivo /etc/audisp/plugins.d/syslog.conf coincidan con los siguientes valores:
```
active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string
```
Modifica o crea el archivo /etc/rsyslog.d/50-default.conf y añade la siguiente línea al final del archivo:
```
local6.* @@FORWARDER_IP:PORT
```
Sustituye <var>FORWARDER_IP</var> y <var>PORT</var> por la dirección IP y el puerto de tu reenviador.
- La primera columna indica qué registros se envían desde /var/log a través de rsyslog.
- El @@ indica que se usa TCP para enviar el mensaje. Para usar UDP, usa un @.
Inhabilita el registro local en syslog: añade local6.none a la línea que configura el registro local en syslog. La ruta varía según el SO:
- Debian: /etc/rsyslog.conf
- Ubuntu /etc/rsyslog.d/50-default.conf
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Reinicia los siguientes servicios:

service auditd restart
service rsyslog restart

Recoger registros de sistemas Unix

Crea o modifica el archivo /etc/rsyslog.d/50-default.conf y añade la siguiente línea al final del archivo:
```
*.* @@FORWARDER_IP:PORT
```
Sustituye <var>FORWARDER_IP</var> y <var>PORT</var> por la dirección IP y el puerto de tu reenviador.
Ejecuta el siguiente comando para reiniciar el daemon y cargar la nueva configuración:
```
sudo service rsyslog restart
```

Configurar el reenviador de Google SecOps para registros de Unix

En el reenviador de Google SecOps, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Instalar y configurar el reenviador de Google SecOps en Linux.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.