Enviando logs de auditoria para o servidor SYSLOG

13

Estou executando vários sistemas baseados em RHEL que utilizam a funcionalidade de auditoria no kernel 2.6 para rastrear a atividade do usuário e preciso enviar esses logs para servidores SYSLOG centralizados para monitoramento e correlação de eventos. Alguém sabe como conseguir isso?

linux syslog redhat audit sin-
fonte
Além disso, recomendo consultar o CIS Benchmark para RHEL 5.0 / 5.1 para obter alguns conselhos sobre como tornar a auditoria mais útil.
Scott Pack
@packs - Você tem um link à mão? Estou interessado ..
Aaron Copley
1
@Aaron - Você pode começar aqui cisecurity.org/en-us/?route=downloads.multiform . A menos que sua organização seja membro, você aceitará a licença.
Scott pacote de
@packs - Obrigado! Por isso não consegui encontrá-lo tão facilmente. (Eu vou ter que se registrar.)
Aaron Copley

Respostas:

9

Edição: 17/11/14

Essa resposta ainda pode funcionar, mas em 2014, usar o plug - in Audisp é a melhor resposta.

Se você estiver executando o servidor syslog estoque ksyslogd, não sei como fazer isso. Mas existem ótimas instruções para fazê-lo com o rsyslog em seu Wiki . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Vou resumir:

  • No cliente remetente ( rsyslog.conf): 

    # auditd audit.log  
$ InputFileName /var/log/audit/audit.log  
$ InputFileTag tag_audit_log:  
$ InputFileStateFile audit_log  
Informações sobre $ InputFileSeverity  
$ InputFileFacility local6  
$ InputRunFileMonitor

    Observe que o imfilemódulo precisará ter sido carregado anteriormente na configuração do rsyslog. Esta é a linha responsável por isso:

    $ ModLoad imfile

    Portanto, verifique se está no seu rsyslog.confarquivo. Se não estiver lá, adicione-o na ### MODULES ###seção para ativar este módulo; caso contrário, a configuração acima para o log auditd não funcionará.

  • No servidor de recebimento ( rsyslog.conf): 

    $ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
local6. *

Reinicie o serviço ( service rsyslog restart) nos dois hosts e você deve começar a receber auditdmensagens.

Aaron Copley
fonte
Infelizmente, (mas por um motivo aceitável), o syslog não é uma opção de saída com o auditd, então você deve fazer algo assim.
Scott pacote de
Apenas para sua informação, para qualquer outra pessoa que esteja configurando isso, a linha de configuração necessária para carregar o imfile é: "$ ModLoad imfile" Mais informações sobre o módulo podem ser encontradas aqui: rsyslog.com/doc/imfile.html
syn-
1
Se você estiver em um servidor de produção / ocupado e enviando logs, essa não é uma maneira eficiente de fazer isso. O imfile utiliza polling, pelo qual sua CPU desperdiçada alterna sempre para assistir o arquivo.
Arenstar
14

O método mais seguro e correto é usar o plug- in audispd syslog e / ou audisp-remote .

Para que funcione rapidamente, você pode editar /etc/audisp/plugins.d/syslog.conf . O RHEL inclui isso por padrão, embora esteja desativado. Você só precisa alterar uma linha para habilitá-la, active = yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Mas isso não é muito seguro por padrão; O syslog é um protocolo inseguro em sua base, não criptografado, não autenticado e em sua especificação UDP original, completamente não confiável. Ele também armazena muitas informações em arquivos não seguros. O sistema de auditoria do Linux lida com informações mais confidenciais do que normalmente são enviadas para o syslog; portanto, é uma separação. O audisp-remote também fornece autenticação e criptografia Kerberos, para que funcione bem como um transporte seguro. Usando o audisp-remote, você enviaria mensagens de auditoria usando o audispd para um servidor audisp-remote em execução no servidor syslog central. O audisp-remote usaria o plug-in audispd syslog para alimentá-los no syslog dameon.

Mas existem outros métodos! rsyslog é muito robusto! O rsyslog também oferece criptografia Kerberos, além de TLS. Apenas verifique se está configurado com segurança.

lamawithonel
fonte
Há alguma preocupação de segurança com ter audisp para a frente para um servidor rsyslog local, em seguida, ter o servidor rsyslog locais para a frente para um servidor rsyslog agregador remoto (usando TLS?)
2rs2ts
3

Você pode fazer logon diretamente no syslog usando o audisp, ele faz parte do pacote de auditoria. No Debian (ainda não tentei em outras distros), edite em:

/etc/audisp/plugins.d/syslog.conf

e definir active=yes.

Diego Woitasen
fonte