Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de auditoría de Linux y del sistema Unix

Compatible con:

Google SecOps SIEM

En este documento, se describe cómo recopilar registros del sistema Unix y del daemon de auditoría (auditd), y cómo usar el reenvío de Google Security Operations para transferir registros a Google SecOps.

Los procedimientos que se indican en este documento se probaron en Debian 11.7 y Ubuntu 22.04 LTS (Jammy Jellyfish).

Recopila registros de auditd y syslog

Puedes configurar los hosts de Linux para que envíen registros de auditd a un retransmisor de SecOps de Google con rsyslog.

Ejecuta el siguiente comando para implementar el daemon de auditoría y el framework de envío de auditoría. Si ya implementaste el daemon y el framework, puedes omitir este paso.
```
apt-get install auditd audispd-plugins
```
Para habilitar el registro de todos los comandos, incluidos los del usuario y el usuario raíz, agrega las siguientes líneas a /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Nota: Si habilitaste las detecciones seleccionadas de amenazas de Linux de Google SecOps, asegúrate de usar la configuración de auditd adecuada.
Reinicia auditd ejecutando el siguiente comando:
```
service auditd restart
```

Configura el reenvío de Google SecOps para auditd

En el retransmisor de Google SecOps, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Instala y configura el reenvío de Google SecOps en Linux.

Configura syslog

Verifica que los parámetros del archivo /etc/audisp/plugins.d/syslog.conf coincidan con los siguientes valores:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Modifica o crea el archivo /etc/rsyslog.d/50-default.conf y agrega la siguiente línea al final del archivo:
```
local6.* @@FORWARDER_IP:PORT
```
Reemplaza FORWARDER_IP y PORT por la dirección IP y el puerto de tu reenviador. La primera columna indica qué registros se envían desde /var/log a través de rsyslog. El @@ de la segunda columna indica que se usa TCP para enviar el mensaje. Para usar UDP, usa uno de los @.
Para inhabilitar el registro local en syslog, configura rsyslog agregando local6.none a la línea que configura lo que se registra en syslog local. El archivo difiere para cada SO. En Debian, el archivo es /etc/rsyslog.conf, y en Ubuntu, es /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Reinicia los siguientes servicios:

service auditd restart
service rsyslog restart

Recopila registros de sistemas Unix

Crea o modifica el archivo /etc/rsyslog.d/50-default.conf y agrega la siguiente línea al final del archivo:
```
*.*   @@FORWARDER_IP:PORT
```
Reemplaza FORWARDER_IP y PORT por la dirección IP de tu reenviador. La primera columna indica qué registros se envían desde /var/log a través de rsyslog. El @@ de la segunda columna indica que se usa TCP para enviar el mensaje. Para usar UDP, usa uno de los @.
Ejecuta el siguiente comando para reiniciar el daemon y cargar la nueva configuración:
```
sudo service rsyslog restart
```

Configura el reenvío de Google SecOps para los registros de Unix

En el retransmisor de Google SecOps, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Instala y configura el reenvío de Google SecOps en Linux.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.