GNU/Linux >> Tutoriels Linux >  >> Linux

Envoi des journaux d'audit au serveur SYSLOG

Solution 1 :

La méthode la plus sûre et la plus correcte consiste à utiliser le plugin audispd syslog et/ou audisp-remote.

Pour le faire fonctionner rapidement vous pouvez modifier /etc/audisp/plugins.d/syslog.conf . RHEL l'inclut par défaut, bien qu'il soit désactivé. Vous n'avez qu'à modifier une ligne pour l'activer, active =yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Mais ce n'est pas très sécurisé par défaut; syslog est un protocole non sécurisé à sa base, non chiffré, non authentifié et dans sa spécification UDP d'origine, totalement peu fiable. Il stocke également beaucoup d'informations dans des fichiers non sécurisés. Le système d'audit Linux gère des informations plus sensibles que celles qui sont généralement envoyées à syslog, d'où sa séparation. audisp-remote fournit également l'authentification et le cryptage Kerberos, il fonctionne donc bien comme transport sécurisé. En utilisant audisp-remote, vous enverriez des messages d'audit à l'aide d'audispd à un serveur audisp-remote exécuté sur votre serveur syslog central. Audisp-remote utiliserait alors le plug-in audispd syslog pour les alimenter dans le dameon syslog.

Mais il existe d'autres méthodes ! rsyslog est très robuste ! rsyslog propose également le chiffrement Kerberos, ainsi que TLS. Assurez-vous simplement qu'il est configuré en toute sécurité.

Solution 2 :

Modifier :17/11/14

Cette réponse peut toujours fonctionner, mais en 2014, l'utilisation du plugin Audisp est la meilleure réponse.

Si vous utilisez le serveur syslog stock ksyslogd, je ne sais pas comment procéder. Mais il existe d'excellentes instructions pour le faire avec rsyslog sur leur Wiki. ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Je vais résumer :

  • Sur le client émetteur (rsyslog.conf ):

    # auditd audit.log  
    $InputFileName /var/log/audit/audit.log  
    $InputFileTag tag_audit_log:  
    $InputFileStateFile audit_log  
    $InputFileSeverity info  
    $InputFileFacility local6  
    $InputRunFileMonitor
    

    Notez que le imfile module devra avoir été chargé au préalable dans la configuration de rsyslog. Voici la ligne responsable de cela :

    $ModLoad imfile

    Vérifiez donc si c'est dans votre rsyslog.conf dossier. S'il n'y est pas, ajoutez-le sous le ### MODULES ### section pour activer ce module ; sinon, la configuration ci-dessus pour la journalisation auditd ne fonctionnera pas.

  • Sur le serveur de réception (rsyslog.conf ):

    $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log"  
    local6.*
    

Redémarrez le service (service rsyslog restart ) sur les deux hôtes et vous devriez commencer à recevoir auditd messages.

Solution 3 :

Vous pouvez vous connecter directement à syslog en utilisant audisp, cela fait partie du package Audit. Dans Debian (je n'ai pas encore essayé dans d'autres distributions), éditez :

/etc/audisp/plugins.d/syslog.conf

et définissez active=yes .


Linux
  1. Configurer le serveur SysLog sur CentOS 6 / RHEL 6

  2. Configurer le serveur Rsyslog centralisé sur CentOS 7

  3. Configurer Rsyslog Server sur Ubuntu 20.04 - Comment faire ?

  4. Comment configurer le serveur rsyslog pour accepter les journaux via SSL/TLS

  5. Envoi de mail depuis mon serveur

Comment configurer le serveur Rsyslog dans CentOS 8 / RHEL 8

Comment configurer le serveur Rsyslog sur Debian 11 (Bullseye)

Comment configurer le serveur Rsyslog sur Debian 11

Comment configurer le serveur de journalisation central à l'aide de Rsyslog sur Ubuntu 20.04

Comment configurer le serveur Rsyslog sur Ubuntu

Qu'est-ce que la fonction syslog pour les journaux auditd ?