GNU/Linux >> Linux Esercitazione > >> Linux

Invio dei registri di controllo al server SYSLOG

Soluzione 1:

Il metodo più sicuro e corretto è utilizzare il plugin audispd syslog e/o audisp-remote.

Per farlo funzionare rapidamente puoi modificare /etc/audisp/plugins.d/syslog.conf . RHEL lo include per impostazione predefinita, sebbene sia disabilitato. Devi solo modificare una riga per abilitarlo, active =yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Ma questo non è molto sicuro per impostazione predefinita; syslog è un protocollo insicuro alla base, non crittografato, non autenticato e nella sua specifica UDP originale, completamente inaffidabile. Memorizza anche molte informazioni in file non sicuri. Il Linux Audit System gestisce informazioni più sensibili di quelle normalmente inviate a syslog, quindi è la separazione. audisp-remote fornisce anche l'autenticazione e la crittografia Kerberos, quindi funziona bene come trasporto sicuro. Usando audisp-remote, invieresti messaggi di audit usando audispd a un server audisp-remote in esecuzione sul tuo server syslog centrale. L'audisp-remote userebbe quindi il plug-in audispd syslog per inserirli nel dameon syslog.

Ma ci sono altri metodi! rsyslog è molto robusto! rsyslog offre anche la crittografia Kerberos, oltre a TLS. Assicurati solo che sia configurato in modo sicuro.

Soluzione 2:

Modifica:17/11/14

Questa risposta potrebbe ancora funzionare, ma nel 2014 l'utilizzo del plug-in Audisp è la risposta migliore.

Se stai eseguendo il server syslog ksyslogd di serie, non so come farlo. Ma ci sono ottime istruzioni per farlo con rsyslog nel loro Wiki. ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Riassumo:

Sul client mittente (rsyslog.conf ):
```
# auditd audit.log  
$InputFileName /var/log/audit/audit.log  
$InputFileTag tag_audit_log:  
$InputFileStateFile audit_log  
$InputFileSeverity info  
$InputFileFacility local6  
$InputRunFileMonitor
```
Nota che il imfile Il modulo dovrà essere stato caricato in precedenza nella configurazione di rsyslog. Questa è la linea responsabile di ciò:
```
$ModLoad imfile
```
Quindi controlla se è nel tuo rsyslog.conf file. Se non c'è, aggiungilo sotto il ### MODULES ### sezione per abilitare questo modulo; in caso contrario, la configurazione precedente per la registrazione auditd non funzionerà.

Sul server ricevente (rsyslog.conf ):

$template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log"  
local6.*

Riavvia il servizio (service rsyslog restart ) su entrambi gli host e dovresti iniziare a ricevere auditd messaggi.

Soluzione 3:

Puoi accedere direttamente a syslog usando audisp, fa parte del pacchetto Audit. In Debian (non ho ancora provato in altre distribuzioni) modifica in:

/etc/audisp/plugins.d/syslog.conf

e imposta active=yes .

Monta una partizione ext4 su Mac OS X

Impossibile configurare un percorso host statico - SIOCADDRT:nessun processo di questo tipo

Linux

Come configurare il server Rsyslog in CentOS 8 / RHEL 8

Come configurare il server Rsyslog su Debian 11 (Bullseye)

Come configurare il server di registrazione centrale utilizzando Rsyslog su Ubuntu 20.04

Come configurare il server Rsyslog su Ubuntu

Visualizzazione dei log su un server Linux remoto

Qual è la differenza tra syslog, rsyslog e syslog-ng?