SYSLOG सर्वर पर ऑडिट लॉग भेजा जा रहा है


13

मैं कई आरएचईएल आधारित सिस्टम चला रहा हूं जो उपयोगकर्ता गतिविधि को ट्रैक करने के लिए 2.6 कर्नेल के भीतर ऑडिट कार्यक्षमता का उपयोग करता है और मुझे इन लॉग को निगरानी और ईवेंट सहसंबंध के लिए केंद्रीकृत SYSLOG सर्वर पर भेजना होगा। किसी को पता है कि यह कैसे प्राप्त करने के लिए?


एक तरफ के रूप में, मैं ऑडिट को अधिक उपयोगी बनाने के लिए कुछ सलाह के लिए RHEL 5.0 / 5.1 के लिए CIS बेंचमार्क की जाँच करने की सलाह देता हूं।
स्कॉट पैक

@packs - क्या आपके पास एक लिंक है? मुझे दिलचस्पी है ..
हारून कोपले

1
@ ऐरन - आप यहाँ cisecurity.org/en-us/?route=downloads.multiform शुरू कर सकते हैं । जब तक आपका संगठन सदस्य नहीं है, आप लाइसेंस स्वीकार करेंगे।
स्कॉट पैक

@packs - धन्यवाद! इसलिए मैं इसे इतनी आसानी से नहीं पा सकता था। (मुझे पंजीकरण करना होगा।)
हारून कोपले

जवाबों:


9

संपादित करें: ११/१//१४

यह उत्तर अभी भी काम कर सकता है, लेकिन 2014 में, ऑडिसिप प्लगइन का उपयोग करना बेहतर उत्तर है।


यदि आप स्टॉक ksyslogd syslog सर्वर चला रहे हैं तो मुझे नहीं पता कि यह कैसे करना है। लेकिन अपने विकी पर rsyslog के साथ इसे करने के लिए बहुत अच्छे निर्देश हैं । ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

मैं संक्षेप में बताऊंगा:

  • भेजने वाले ग्राहक पर ( rsyslog.conf):

    # ऑडिट ऑडिट ।log  
    $ InputFileName /var/log/audit/audit.log  
    $ InputFileTag tag_audit_log:  
    $ InputFileStateFile ऑडिट_लॉग  
    $ InputFileSeverity जानकारी  
    $ InputFileFacility स्थानीय 6  
    $ InputRunFileMonitor
    

    ध्यान दें कि imfileमॉड्यूल को पहले rsyslog कॉन्फ़िगरेशन में लोड करना होगा। यह उसके लिए जिम्मेदार रेखा है:

    $ मोडलड इम्फाइल

    इसलिए जांचें कि क्या यह आपकी rsyslog.confफाइल में है। यदि यह नहीं है, तो ### MODULES ###इस मॉड्यूल को सक्षम करने के लिए इसे अनुभाग में जोड़ें ; अन्यथा, ऑडिट लॉगिंग के लिए उपरोक्त कॉन्फ़िगरेशन काम नहीं करेगा।

  • प्राप्त सर्वर पर ( rsyslog.conf):

    $ टेम्पलेट HostAudit, "/ var / log / rsyslog /% HOSTNAME% / ऑडिट_लॉग"  
    local6। *
    

service rsyslog restartदोनों होस्ट पर सेवा ( ) को पुनरारंभ करें और आपको auditdसंदेश प्राप्त करना शुरू करना चाहिए ।


दुर्भाग्य से, (लेकिन एक स्वीकार्य कारण के लिए) syslog ऑडिट के साथ आउटपुट विकल्प नहीं है, इसलिए आपको इसे कुछ इस तरह से करना होगा।
स्कॉट पैक

बस किसी और को इसे स्थापित करने के लिए FYI करें, imfile को लोड करने के लिए आवश्यक कॉन्फिगर लाइन है: "$ ModLoad imfile" मॉड्यूल के बारे में अधिक जानकारी यहां पाई जा सकती है: rsyslog.com/doc/imfile.html
syn-

1
यदि आपका उत्पादन / व्यस्त सर्वर और लॉग भेजने पर, यह ऐसा करने का एक प्रभावी तरीका नहीं है .. तो imfile मतदान का उपयोग करता है, जिससे फ़ाइल को देखने के लिए हमेशा आपका बर्बाद होने वाला cpu चक्र ..
Arenstar

14

सबसे सुरक्षित और सही तरीका ऑडीस्पेड syslog प्लगइन और / या ऑडियो-रिमोट का उपयोग करना है

जल्दी से इसे प्राप्त करने के लिए आप /etc/audisp/plugins.d/syslog.conf को संपादित कर सकते हैं । आरएचईएल इसमें डिफ़ॉल्ट रूप से शामिल है, हालांकि यह अक्षम है। इसे सक्रिय करने के लिए आपको केवल एक पंक्ति बदलने की आवश्यकता है, सक्रिय = हाँ

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

लेकिन यह डिफ़ॉल्ट रूप से बहुत सुरक्षित नहीं है; syslog अपने आधार पर एक असुरक्षित प्रोटोकॉल है, बिना लाइसेंस के, बिना लाइसेंस के और अपने मूल यूडीपी विनिर्देश में, पूरी तरह से अविश्वसनीय है। यह असुरक्षित फ़ाइलों में बहुत सारी जानकारी संग्रहीत करता है। आमतौर पर लिनक्स ऑडिट सिस्टम अधिक संवेदनशील सूचनाओं को संभालता है, क्योंकि आमतौर पर इसे syslog में भेजा जाता है, इसलिए यह अलग हो जाता है। audisp- रिमोट भी Kerberos प्रमाणीकरण और एन्क्रिप्शन प्रदान करता है, इसलिए यह एक सुरक्षित परिवहन के रूप में अच्छी तरह से काम करता है। ऑडियो-रिमोट का उपयोग करते हुए, आप अपने केंद्रीय syslog सर्वर पर चलने वाले ऑडिस-रिमोट सर्वर के लिए ऑडिसिप का उपयोग करके ऑडिट संदेश भेजेंगे। ऑडिस्प-रिमोट तब ऑडीस्पेड syslog प्लगइन का उपयोग करके उन्हें syslog डेमॉन में फीड करेगा।

लेकिन अन्य तरीके हैं! rsyslog बहुत मजबूत है! rsyslog भी Kerberos एन्क्रिप्शन, प्लस TLS प्रदान करता है। बस सुनिश्चित करें कि यह सुरक्षित रूप से कॉन्फ़िगर किया गया है।


क्या किसी स्थानीय rsyslog सर्वर के लिए ऑडिसिप फॉरवर्ड करने के साथ कोई सुरक्षा संबंधी चिंताएँ हैं, तो स्थानीय rsyslog सर्वर को दूरस्थ एग्रीगेटर rsyslog सर्वर (TLS का उपयोग करके?)
2rs2ts

3

आप ऑडिसिप का उपयोग करके सीधे लॉग इन कर सकते हैं, यह ऑडिट पैकेज का हिस्सा है। डेबियन में (मैंने अभी तक अन्य डिस्ट्रोज़ में कोशिश नहीं की है) में संपादित करें:

/etc/audisp/plugins.d/syslog.conf

और सेट active=yes

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.