Senden von Überwachungsprotokollen an den SYSLOG-Server

Ich verwende mehrere RHEL-basierte Systeme, die die Audit-Funktionalität im 2.6-Kernel nutzen, um die Benutzeraktivität zu verfolgen. Diese Protokolle müssen zur Überwachung und zur Ereigniskorrelation an zentrale SYSLOG-Server gesendet werden. Weiß jemand, wie man das erreicht?

Edit: 17.11.14

Diese Antwort funktioniert möglicherweise noch, aber im Jahr 2014 ist die Verwendung des Audisp-Plugins die bessere Antwort.

Wenn Sie den Standard-Syslog-Server ksyslogd verwenden, weiß ich nicht, wie das geht. Aber es gibt großartige Anweisungen dafür mit rsyslog in ihrem Wiki . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Ich werde zusammenfassen:

• Auf dem sendenden Client ( rsyslog.conf):

  # auditd audit.log  
  $ InputFileName /var/log/audit/audit.log  
  $ InputFileTag tag_audit_log:  
  $ InputFileStateFile audit_log  
  $ InputFileSeverity info  
  $ InputFileFacility local6  
  $ InputRunFileMonitor
  

  Beachten Sie, dass das imfileModul zuvor in die rsyslog-Konfiguration geladen werden muss. Dies ist die Zeile, die dafür verantwortlich ist:

  $ ModLoad imfile

  Überprüfen Sie also, ob es in Ihrer rsyslog.confDatei ist. Wenn es nicht vorhanden ist, fügen Sie es unter dem ### MODULES ###Abschnitt hinzu, um dieses Modul zu aktivieren. Andernfalls funktioniert die obige Konfiguration für die AuditD-Protokollierung nicht.

• Auf dem empfangenden Server ( rsyslog.conf):

  $ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
  local6. *
  

Starten Sie den Dienst ( service rsyslog restart) auf beiden Hosts neu und Sie sollten mit dem Empfang von auditdNachrichten beginnen .

Die sicherste und korrekteste Methode ist die Verwendung des audispd syslog-Plugins und / oder von audisp-remote .

Um es schnell zum Laufen zu bringen, können Sie /etc/audisp/plugins.d/syslog.conf bearbeiten . RHEL schließt dies standardmäßig ein, obwohl es deaktiviert ist. Sie müssen nur eine Zeile ändern, um sie zu aktivieren, active = yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Dies ist jedoch standardmäßig nicht sehr sicher. syslog ist ein unsicheres Protokoll an seiner Basis, unverschlüsselt, nicht authentifiziert und in seiner ursprünglichen UDP-Spezifikation völlig unzuverlässig. Außerdem werden viele Informationen in unsicheren Dateien gespeichert. Das Linux-Audit-System verarbeitet vertraulichere Informationen als normalerweise an Syslog gesendet, daher ist es eine Trennung. audisp-remote bietet auch Kerberos-Authentifizierung und -Verschlüsselung, sodass es als sicherer Transport gut funktioniert. Mit audisp-remote würden Sie mit audispd Überwachungsnachrichten an einen audisp-remote-Server senden, der auf Ihrem zentralen Syslog-Server ausgeführt wird. Die audisp-remote verwendet dann das audispd-syslog-Plugin, um sie in den syslog-dameon einzuspeisen.

Es gibt aber auch andere Methoden! rsyslog ist sehr robust! rsyslog bietet auch Kerberos-Verschlüsselung sowie TLS. Stellen Sie einfach sicher, dass es sicher konfiguriert ist.

Sie können sich mit audisp direkt bei syslog anmelden. Dies ist Teil des Audit-Pakets. In Debian (ich habe es noch nicht in anderen Distributionen versucht) edit in:

/etc/audisp/plugins.d/syslog.conf

und setzen active=yes.