Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de auditoría de Linux y del sistema Unix

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se describe cómo recopilar registros del sistema Unix y del daemon de auditoría (auditd), y cómo usar el agente de reenvío de Google Security Operations para transferir registros a Google SecOps.

Los procedimientos que se indican en este documento se probaron en Debian 11.7 y Ubuntu 22.04 LTS (Jammy Jellyfish).

Recopila registros de auditd y syslog

Puedes configurar hosts de Linux para que envíen registros de auditd a un retransmisor de SecOps de Google con rsyslog.

Implementa el daemon de auditoría y el framework de envío de auditoría:
```
apt-get install auditd audispd-plugins
```
Si ya implementaste el daemon y el framework, omite este paso.
Para habilitar el registro de todos los comandos (incluidos los de usuario y raíz), agrega las siguientes líneas a /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Nota: Si habilitaste las detecciones seleccionadas de amenazas de Linux de Google SecOps, asegúrate de usar la configuración de auditd adecuada.
Reinicia auditd:
```
service auditd restart
```

Configura el reenvío de Google SecOps para auditd

En el retransmisor de Google SecOps, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Instala y configura el reenvío de Google SecOps en Linux.

Configura syslog

Verifica que los parámetros del archivo /etc/audisp/plugins.d/syslog.conf coincidan con los siguientes valores:
```
active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string
```
Modifica o crea el archivo /etc/rsyslog.d/50-default.conf y agrega la siguiente línea al final del archivo:
```
local6.* @@FORWARDER_IP:PORT
```
Reemplaza <var>FORWARDER_IP</var> y <var>PORT</var> por la dirección IP y el puerto de tu reenviador.
- La primera columna indica qué registros se envían desde /var/log a través de rsyslog.
- El @@ indica que se usa TCP para enviar el mensaje. Para usar UDP, usa uno de los @.
Inhabilita el registro local en syslog: Agrega local6.none a la línea que configura el registro local en syslog. La ruta varía según el SO:
- Debian: /etc/rsyslog.conf
- Ubuntu: /etc/rsyslog.d/50-default.conf
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Reinicia los siguientes servicios:

service auditd restart
service rsyslog restart

Recopila registros de sistemas Unix

Crea o modifica el archivo /etc/rsyslog.d/50-default.conf y agrega la siguiente línea al final del archivo:
```
*.* @@FORWARDER_IP:PORT
```
Reemplaza <var>FORWARDER_IP</var> y <var>PORT</var> por la dirección IP y el puerto de tu reenviador.
Ejecuta el siguiente comando para reiniciar el daemon y cargar la nueva configuración:
```
sudo service rsyslog restart
```

Configura el reenvío de Google SecOps para los registros de Unix

En el retransmisor de Google SecOps, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Instala y configura el reenvío de Google SecOps en Linux.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.