SYSLOG 서버로 감사 로그 보내기


13

사용자 활동을 추적하기 위해 2.6 커널 내에서 감사 기능을 활용하는 여러 RHEL 기반 시스템을 실행하고 있으며 모니터링 및 이벤트 상관을 위해이 로그를 중앙화 된 SYSLOG 서버로 보내야합니다. 아무도 이것을 달성하는 방법을 알고 있습니까?


또한 감사의 유용성을 높이기위한 RIS 5.0 / 5.1의 CIS 벤치 마크를 확인하는 것이 좋습니다.
Scott Pack

@packs-링크가 편리합니까? 관심이 있어요 ..
Aaron Copley

1
@Aaron - 당신은 여기에서 시작할 수 있습니다 cisecurity.org/en-us/?route=downloads.multiform . 귀하의 조직이 회원이 아닌 한 라이센스에 동의하게됩니다.
Scott Pack

@packs-감사합니다! 그래서 쉽게 찾을 수 없었습니다.
Aaron Copley

답변:


9

편집 : 11/17/14

이 답변은 여전히 ​​작동하지만 2014 년 에는 Audisp 플러그인 을 사용하는 것이 더 좋습니다.


주식 ksyslogd syslog 서버를 실행하고 있다면 어떻게해야할지 모르겠습니다. 그러나 위키 에서 rsyslog를 사용하여이를 수행하기위한 훌륭한 지침이 있습니다 . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

나는 요약 할 것이다 :

  • 발신 클라이언트 ( rsyslog.conf)에서 :

    # 감사 audit.log  
    $ InputFileName /var/log/audit/audit.log  
    $ InputFileTag tag_audit_log :  
    $ InputFileStateFile audit_log  
    $ InputFile 심각도 정보  
    $ InputFileFacility 로컬 6  
    $ InputRunFileMonitor
    

    참고는 것을 imfile모듈은 위해 rsyslog 구성 이전에로드 된해야합니다. 이것이 바로 그 책임입니다.

    $ ModLoad imfile

    rsyslog.conf파일 에 있는지 확인 하십시오. 없는 경우 ### MODULES ###섹션 아래에 추가 하여이 모듈을 활성화하십시오. 그렇지 않으면 위의 감사 로깅 구성이 작동하지 않습니다.

  • 수신 서버 ( rsyslog.conf)에서 :

    $ template HostAudit, "/ var / log / rsyslog / % HOSTNAME % / audit_log"  
    local6. *
    

service rsyslog restart두 호스트 모두 에서 서비스 ( )를 다시 시작하면 auditd메시지 수신을 시작해야합니다 .


불행히도 (그러나 적절한 이유로) syslog는 auditd의 출력 옵션이 아니므로 이와 같은 작업을 수행해야합니다.
Scott Pack

참고로 다른 사람이이 파일을 설정하는 경우 imfile을로드하는 데 필요한 구성 줄은 다음과 같습니다. "$ ModLoad imfile"모듈에 대한 자세한 내용은 여기에서 찾을 수 있습니다. rsyslog.com/doc/imfile.html
syn-

1
프로덕션 / 바쁨 서버에서 로그를 보내는 경우이 방법이 효율적이지 않습니다. imfile 은 폴링을 사용하여 파일을 보는 데 항상 CPU주기를 낭비합니다.
Arenstar

14

가장 안전하고 올바른 방법은 audispd syslog 플러그인 및 / 또는 audisp-remote를 사용하는 것 입니다.

빠르게 작동하게 하려면 /etc/audisp/plugins.d/syslog.conf를 편집하십시오 . RHEL은 기본적으로 비활성화되어 있지만이를 포함합니다. 활성화하려면 한 줄만 변경하면됩니다 ( active = yes) .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

그러나 이것은 기본적으로 안전하지 않습니다. syslog는 기본적으로 암호화되지 않은, 인증되지 않은 원래 UDP 사양의 보안되지 않은 프로토콜이며 완전히 신뢰할 수 없습니다. 또한 안전하지 않은 파일에 많은 정보를 저장합니다. Linux Audit System은 일반적으로 syslog로 전송되는 것보다 더 민감한 정보를 처리하므로 분리됩니다. audisp-remote는 Kerberos 인증 및 암호화도 제공하므로 보안 전송으로 잘 작동합니다. audisp-remote를 사용하면 audispd를 사용하여 중앙 syslog 서버에서 실행되는 audisp-remote 서버로 감사 메시지를 보냅니다. 그러면 audisp-remote는 audispd syslog 플러그인을 사용하여 syslog dameon에 공급합니다.

그러나 다른 방법이 있습니다! rsyslog는 매우 강력합니다! rsyslog는 Kerberos 암호화와 TLS도 제공합니다. 안전하게 구성되어 있는지 확인하십시오.


로컬 rsyslog 서버로 audisp 전달한 다음 로컬 rsyslog 서버를 원격 수집기 rsyslog 서버 (TLS 사용)로 전달하는 것과 관련된 보안 문제가 있습니까?
2rs2ts

3

감사 패키지의 일부인 audisp를 사용하여 syslog에 직접 로그 할 수 있습니다. 데비안에서 (아직 다른 배포판에서는 시도하지 않았습니다) 편집 :

/etc/audisp/plugins.d/syslog.conf

설정 active=yes합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.