SYSLOGサーバーへの監査ログの送信

2.6カーネル内の監査機能を利用してユーザーアクティビティを追跡するいくつかのRHELベースのシステムを実行しています。これらのログを監視およびイベント相関のために中央のSYSLOGサーバーに送信する必要があります。誰もこれを達成する方法を知っていますか？

編集：11/17/14

この答えはまだ有効かもしれませんが、2014年には、Audispプラグインを使用する方が良い答えです。

ストックksyslogd syslogサーバーを実行している場合、これを行う方法がわかりません。しかし、Wikiでrsyslogでそれを行うための素晴らしい指示があります。（http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log）

要約します：

• 送信クライアント（rsyslog.conf）で：

  # auditd audit.log  
  $ InputFileName /var/log/audit/audit.log  
  $ InputFileTag tag_audit_log：  
  $ InputFileStateFile audit_log  
  $ InputFileSeverity info  
  $ InputFileFacility local6  
  $ InputRunFileMonitor
  

  imfileモジュールは、以前にrsyslog設定でロードされている必要があることに注意してください。これはそれを担当する行です：

  $ ModLoad imfile

  rsyslog.confファイルにあるかどうかを確認してください。存在しない場合は、### MODULES ###セクションの下に追加してこのモジュールを有効にします。そうしないと、監査ログの上記の構成は機能しません。

• 受信サーバー（rsyslog.conf）で：

  $ template HostAudit、「/ var / log / rsyslog /％HOSTNAME％/ audit_log」  
  local6。*
  

service rsyslog restart両方のホストでサービス（）を再起動すると、auditdメッセージの受信が開始されます。

最も安全で正しい方法は、audispd syslogプラグインまたはaudisp-remoteを使用することです。

すぐに機能させるには、/etc/audisp/plugins.d/syslog.confを編集できます。RHELにはデフォルトで含まれていますが、無効になっています。有効にするには、active = yesの 1行だけを変更する必要があります。

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

しかし、これはデフォルトではあまり安全ではありません。syslogは、暗号化されておらず、認証されておらず、元のUDP仕様では完全に信頼性の低い、安全でないプロトコルです。また、多くの情報を安全でないファイルに保存します。Linux Audit Systemは通常syslogに送信されるよりも多くの機密情報を処理するため、分離されます。audisp-remoteは、Kerberos認証と暗号化も提供するため、安全なトランスポートとして機能します。audisp-remoteを使用すると、audispdを使用して、中央のsyslogサーバーで実行されているaudisp-remoteサーバーに監査メッセージを送信できます。audisp-remoteはaudispd syslogプラグインを使用して、syslog dameonにそれらを送ります。

しかし、他の方法があります！rsyslogは非常に堅牢です！rsyslogは、Kerberos暗号化とTLSも提供します。安全に設定されていることを確認してください。

Auditパッケージの一部であるaudispを使用して、syslogに直接ログインできます。Debianでは（他のディストリビューションではまだ試していません）編集：

/etc/audisp/plugins.d/syslog.conf

そして設定しactive=yesます。