Recopila registros del sistema Linux auditd y Unix

Compatible con:

En este documento, se describe cómo recopilar registros del sistema Unix y daemon de auditoría (auditd), y usar el servidor de reenvío de Google SecOps para transferir registros a Google SecOps.

Los procedimientos de este documento se probaron en Debian 11.7 y Ubuntu 22.04 LTS (Jammy Jellyfish).

Recopilar registros de auditd y syslog

Puedes configurar los hosts de Linux para que envíen registros de auditoría a Google SecOps reenviador con rsyslog.

  1. Implementa el daemon de auditoría y el framework de despacho de auditorías ejecutando el siguiente comando. Si ya implementaste el daemon y el framework, puedes omitir este paso.

    apt-get install auditd audispd-plugins
    
  2. Para habilitar el registro de todos los comandos, que incluyen el usuario y la raíz, agrega lo siguiente: líneas a /etc/audit/rules.d/audit.rules:

    -a exit,always -F arch=b64 -S execve
    -a exit,always -F arch=b32 -S execve
    
  3. Ejecuta el siguiente comando para reiniciar auditd:

    service auditd restart
    

Configura el servidor de reenvío de Google SecOps para auditd

En el servidor de reenvío de Google SecOps, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Cómo instalar y configurar el servidor de reenvío de Google SecOps en Linux.

Configura syslog

  1. Verifica que los parámetros del archivo /etc/audisp/plugins.d/syslog.conf coincidan con los siguientes valores:

    active = yes
    direction = out
    path = /sbin/audisp-syslog
    type = always
    args = LOG_LOCAL6
    format = string
    
  2. Modifica o crea el archivo /etc/rsyslog.d/50-default.conf y agrega la siguiente línea al final:

    local6.* @@FORWARDER_IP:PORT
    

    Reemplaza FORWARDER_IP y PORT. con la dirección IP y el puerto del servidor de reenvío. La primera columna indica qué los registros se envían desde /var/log a través de rsyslog. El @@ de la segunda columna indica que se usa TCP para enviar el mensaje. Para usar UDP, usa un @.

  3. Para inhabilitar el registro local en syslog, configura rsyslog agregando local6.none. a la línea que configura lo que se registra en el syslog local. El archivo difiere para cada en el SO. Para Debian, el archivo es /etc/rsyslog.conf, y para Ubuntu, es el archivo /etc/rsyslog.d/50-default.conf:

    *.*;local6.none;auth,authpriv.none              -/var/log/syslog
    
  4. Reinicia los siguientes servicios:

    service auditd restart
    service rsyslog restart
    

Recopila registros de sistemas Unix

  1. Crea o modifica el archivo /etc/rsyslog.d/50-default.conf y agrega la siguiente línea al final:

    *.*   @@FORWARDER_IP:PORT
    

    Reemplaza FORWARDER_IP y PORT por la dirección IP del servidor de reenvío. En la primera columna, se indica qué registros se envían desde /var/log a través de rsyslog. El @@ en la segunda columna indica que se utiliza TCP para enviar el mensaje. Para usar UDP, usa un @.

  2. Ejecuta el siguiente comando para reiniciar el daemon y cargar el archivo de configuración nuevo:

    sudo service rsyslog restart
    

Configura el reenvío de Google SecOps para registros de Unix

En el servidor de reenvío de Google SecOps, especifica el siguiente tipo de datos:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para obtener más información, consulta Cómo instalar y configurar el servidor de reenvío de Google SecOps en Linux.