사용자 활동을 추적하기 위해 2.6 커널 내에서 감사 기능을 활용하는 여러 RHEL 기반 시스템을 실행하고 있으며 모니터링 및 이벤트 상관을 위해이 로그를 중앙화 된 SYSLOG 서버로 보내야합니다. 아무도 이것을 달성하는 방법을 알고 있습니까?
사용자 활동을 추적하기 위해 2.6 커널 내에서 감사 기능을 활용하는 여러 RHEL 기반 시스템을 실행하고 있으며 모니터링 및 이벤트 상관을 위해이 로그를 중앙화 된 SYSLOG 서버로 보내야합니다. 아무도 이것을 달성하는 방법을 알고 있습니까?
답변:
편집 : 11/17/14
이 답변은 여전히 작동하지만 2014 년 에는 Audisp 플러그인 을 사용하는 것이 더 좋습니다.
주식 ksyslogd syslog 서버를 실행하고 있다면 어떻게해야할지 모르겠습니다. 그러나 위키 에서 rsyslog를 사용하여이를 수행하기위한 훌륭한 지침이 있습니다 . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )
나는 요약 할 것이다 :
발신 클라이언트 ( rsyslog.conf
)에서 :
#
감사 audit.log
$ InputFileName /var/log/audit/audit.log
$ InputFileTag tag_audit_log :
$ InputFileStateFile audit_log
$ InputFile 심각도 정보
$ InputFileFacility 로컬 6
$ InputRunFileMonitor
참고는 것을 imfile
모듈은 위해 rsyslog 구성 이전에로드 된해야합니다. 이것이 바로 그 책임입니다.
$ ModLoad imfile
rsyslog.conf
파일 에 있는지 확인 하십시오. 없는 경우 ### MODULES ###
섹션 아래에 추가 하여이 모듈을 활성화하십시오. 그렇지 않으면 위의 감사 로깅 구성이 작동하지 않습니다.
수신 서버 ( rsyslog.conf
)에서 :
$ template HostAudit, "/ var / log / rsyslog / % HOSTNAME % / audit_log" local6. *
service rsyslog restart
두 호스트 모두 에서 서비스 ( )를 다시 시작하면 auditd
메시지 수신을 시작해야합니다 .
가장 안전하고 올바른 방법은 audispd syslog 플러그인 및 / 또는 audisp-remote를 사용하는 것 입니다.
빠르게 작동하게 하려면 /etc/audisp/plugins.d/syslog.conf를 편집하십시오 . RHEL은 기본적으로 비활성화되어 있지만이를 포함합니다. 활성화하려면 한 줄만 변경하면됩니다 ( active = yes) .
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
그러나 이것은 기본적으로 안전하지 않습니다. syslog는 기본적으로 암호화되지 않은, 인증되지 않은 원래 UDP 사양의 보안되지 않은 프로토콜이며 완전히 신뢰할 수 없습니다. 또한 안전하지 않은 파일에 많은 정보를 저장합니다. Linux Audit System은 일반적으로 syslog로 전송되는 것보다 더 민감한 정보를 처리하므로 분리됩니다. audisp-remote는 Kerberos 인증 및 암호화도 제공하므로 보안 전송으로 잘 작동합니다. audisp-remote를 사용하면 audispd를 사용하여 중앙 syslog 서버에서 실행되는 audisp-remote 서버로 감사 메시지를 보냅니다. 그러면 audisp-remote는 audispd syslog 플러그인을 사용하여 syslog dameon에 공급합니다.
그러나 다른 방법이 있습니다! rsyslog는 매우 강력합니다! rsyslog는 Kerberos 암호화와 TLS도 제공합니다. 안전하게 구성되어 있는지 확인하십시오.
감사 패키지의 일부인 audisp를 사용하여 syslog에 직접 로그 할 수 있습니다. 데비안에서 (아직 다른 배포판에서는 시도하지 않았습니다) 편집 :
/etc/audisp/plugins.d/syslog.conf
설정 active=yes
합니다.