SYSLOG सर्वर पर ऑडिट लॉग भेजा जा रहा है

मैं कई आरएचईएल आधारित सिस्टम चला रहा हूं जो उपयोगकर्ता गतिविधि को ट्रैक करने के लिए 2.6 कर्नेल के भीतर ऑडिट कार्यक्षमता का उपयोग करता है और मुझे इन लॉग को निगरानी और ईवेंट सहसंबंध के लिए केंद्रीकृत SYSLOG सर्वर पर भेजना होगा। किसी को पता है कि यह कैसे प्राप्त करने के लिए?

संपादित करें: ११/१//१४

यह उत्तर अभी भी काम कर सकता है, लेकिन 2014 में, ऑडिसिप प्लगइन का उपयोग करना बेहतर उत्तर है।

यदि आप स्टॉक ksyslogd syslog सर्वर चला रहे हैं तो मुझे नहीं पता कि यह कैसे करना है। लेकिन अपने विकी पर rsyslog के साथ इसे करने के लिए बहुत अच्छे निर्देश हैं । ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

मैं संक्षेप में बताऊंगा:

• भेजने वाले ग्राहक पर ( rsyslog.conf):

  # ऑडिट ऑडिट ।log  
  $ InputFileName /var/log/audit/audit.log  
  $ InputFileTag tag_audit_log:  
  $ InputFileStateFile ऑडिट_लॉग  
  $ InputFileSeverity जानकारी  
  $ InputFileFacility स्थानीय 6  
  $ InputRunFileMonitor
  

  ध्यान दें कि imfileमॉड्यूल को पहले rsyslog कॉन्फ़िगरेशन में लोड करना होगा। यह उसके लिए जिम्मेदार रेखा है:

  $ मोडलड इम्फाइल

  इसलिए जांचें कि क्या यह आपकी rsyslog.confफाइल में है। यदि यह नहीं है, तो ### MODULES ###इस मॉड्यूल को सक्षम करने के लिए इसे अनुभाग में जोड़ें ; अन्यथा, ऑडिट लॉगिंग के लिए उपरोक्त कॉन्फ़िगरेशन काम नहीं करेगा।

• प्राप्त सर्वर पर ( rsyslog.conf):

  $ टेम्पलेट HostAudit, "/ var / log / rsyslog /% HOSTNAME% / ऑडिट_लॉग"  
  local6। *
  

service rsyslog restartदोनों होस्ट पर सेवा ( ) को पुनरारंभ करें और आपको auditdसंदेश प्राप्त करना शुरू करना चाहिए ।

सबसे सुरक्षित और सही तरीका ऑडीस्पेड syslog प्लगइन और / या ऑडियो-रिमोट का उपयोग करना है ।

जल्दी से इसे प्राप्त करने के लिए आप /etc/audisp/plugins.d/syslog.conf को संपादित कर सकते हैं । आरएचईएल इसमें डिफ़ॉल्ट रूप से शामिल है, हालांकि यह अक्षम है। इसे सक्रिय करने के लिए आपको केवल एक पंक्ति बदलने की आवश्यकता है, सक्रिय = हाँ ।

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

लेकिन यह डिफ़ॉल्ट रूप से बहुत सुरक्षित नहीं है; syslog अपने आधार पर एक असुरक्षित प्रोटोकॉल है, बिना लाइसेंस के, बिना लाइसेंस के और अपने मूल यूडीपी विनिर्देश में, पूरी तरह से अविश्वसनीय है। यह असुरक्षित फ़ाइलों में बहुत सारी जानकारी संग्रहीत करता है। आमतौर पर लिनक्स ऑडिट सिस्टम अधिक संवेदनशील सूचनाओं को संभालता है, क्योंकि आमतौर पर इसे syslog में भेजा जाता है, इसलिए यह अलग हो जाता है। audisp- रिमोट भी Kerberos प्रमाणीकरण और एन्क्रिप्शन प्रदान करता है, इसलिए यह एक सुरक्षित परिवहन के रूप में अच्छी तरह से काम करता है। ऑडियो-रिमोट का उपयोग करते हुए, आप अपने केंद्रीय syslog सर्वर पर चलने वाले ऑडिस-रिमोट सर्वर के लिए ऑडिसिप का उपयोग करके ऑडिट संदेश भेजेंगे। ऑडिस्प-रिमोट तब ऑडीस्पेड syslog प्लगइन का उपयोग करके उन्हें syslog डेमॉन में फीड करेगा।

लेकिन अन्य तरीके हैं! rsyslog बहुत मजबूत है! rsyslog भी Kerberos एन्क्रिप्शन, प्लस TLS प्रदान करता है। बस सुनिश्चित करें कि यह सुरक्षित रूप से कॉन्फ़िगर किया गया है।

आप ऑडिसिप का उपयोग करके सीधे लॉग इन कर सकते हैं, यह ऑडिट पैकेज का हिस्सा है। डेबियन में (मैंने अभी तक अन्य डिस्ट्रोज़ में कोशिश नहीं की है) में संपादित करें:

/etc/audisp/plugins.d/syslog.conf

और सेट active=yes।