Linux-Audit- und Unix-Systemlogs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Audit-Daemon-Logs (auditd) und Unix-Systemlogs erfassen und den Google Security Operations-Forwarder verwenden, um Logs in Google SecOps aufzunehmen.

Die Verfahren in diesem Dokument wurden unter Debian 11.7 und Ubuntu 22.04 LTS (Jammy Jellyfish) getestet.

Logs von auditd und syslog erfassen

Sie können Linux-Hosts so konfigurieren, dass auditd-Logs mit rsyslog an einen Google SecOps-Forwarder gesendet werden.

Audit-Daemon und Audit-Dispatching-Framework bereitstellen:
```
apt-get install auditd audispd-plugins
```
Wenn Sie den Daemon und das Framework bereits bereitgestellt haben, überspringen Sie diesen Schritt.
Aktivieren Sie die Protokollierung aller Befehle (einschließlich Nutzer- und Root-Befehle), indem Sie die folgenden Zeilen zu /etc/audit/rules.d/audit.rules hinzufügen:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Hinweis :Wenn Sie von Google SecOps kuratierte Erkennungen für Linux-Bedrohungen aktiviert haben, müssen Sie die entsprechende auditd-Konfiguration verwenden.
Starten Sie auditd neu:
```
service auditd restart
```

Google SecOps-Forwarder für auditd konfigurieren

Geben Sie im Google SecOps-Forwarder den folgenden Datentyp an:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Weitere Informationen finden Sie unter Google SecOps-Forwarder unter Linux installieren und konfigurieren.

Syslog konfigurieren

Prüfen Sie, ob die Parameter in der Datei /etc/audisp/plugins.d/syslog.conf mit den folgenden Werten übereinstimmen:
```
active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string
```
Ändern Sie die Datei /etc/rsyslog.d/50-default.conf oder erstellen Sie sie und fügen Sie am Ende der Datei die folgende Zeile hinzu:
```
local6.* @@FORWARDER_IP:PORT
```
Ersetzen Sie <var>FORWARDER_IP</var> und <var>PORT</var> durch die IP-Adresse und den Port Ihres Forwarders.
- In der ersten Spalte wird angegeben, welche Logs von /var/log über rsyslog gesendet werden.
- Das @@ gibt an, dass TCP zum Senden der Nachricht verwendet wird. Wenn Sie UDP verwenden möchten, verwenden Sie eine @.
Lokale Protokollierung in Syslog deaktivieren: Fügen Sie der Zeile, in der die lokale Syslog-Protokollierung konfiguriert wird, local6.none hinzu. Der Pfad variiert je nach Betriebssystem:
- Debian: /etc/rsyslog.conf
- Ubuntu: /etc/rsyslog.d/50-default.conf
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Starten Sie die folgenden Dienste neu:

service auditd restart
service rsyslog restart

Unix-Systemprotokolle erfassen

Erstellen oder bearbeiten Sie die Datei /etc/rsyslog.d/50-default.conf und fügen Sie am Ende der Datei die folgende Zeile hinzu:
```
*.* @@FORWARDER_IP:PORT
```
Ersetzen Sie <var>FORWARDER_IP</var> und <var>PORT</var> durch die IP-Adresse und den Port Ihres Forwarders.
Führen Sie den folgenden Befehl aus, um den Daemon neu zu starten und die neue Konfiguration zu laden:
```
sudo service rsyslog restart
```

Google SecOps-Forwarder für Unix-Logs konfigurieren

Geben Sie im Google SecOps-Forwarder den folgenden Datentyp an:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Weitere Informationen finden Sie unter Google SecOps-Forwarder unter Linux installieren und konfigurieren.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten