SYSLOG সার্ভারে অডিট লগগুলি প্রেরণ করা হচ্ছে

আমি বেশ কয়েকটি আরএইচইএল ভিত্তিক সিস্টেম পরিচালনা করছি যা ব্যবহারকারীর ক্রিয়াকলাপ ট্র্যাক করার জন্য ২. ker কার্নেলের মধ্যে নিরীক্ষণের কার্যকারিতাটি ব্যবহার করে এবং এই লগগুলি পর্যবেক্ষণ এবং ইভেন্টের সম্পর্কের জন্য কেন্দ্রীভূত SYSLOG সার্ভারগুলিতে প্রেরণ করা দরকার। কেউ কীভাবে এটি অর্জন করতে জানেন?

সম্পাদনা: 11/17/14

এই উত্তরটি এখনও কার্যকর হতে পারে তবে 2014 সালে অডিস্প প্লাগইন ব্যবহার করা আরও ভাল উত্তর।

আপনি যদি স্টক চালাচ্ছেন ksyslogd syslog সার্ভার আমি জানি না এটি কীভাবে করা যায়। তবে তাদের উইকিতে আরএসলগ দিয়ে এটি করার জন্য দুর্দান্ত নির্দেশনা রয়েছে । ( http://wiki.rsyslog.com/index.php/ কেন্দ্রিককরণ_ও_উডিট_লগ )

আমি সংক্ষেপে বলব:

• প্রেরক ক্লায়েন্টে ( rsyslog.conf):

  # নিরীক্ষা নিরীক্ষা.লগ  
  । ইনপুটফিলনাম /var/log/audit/audit.log  
  $ ইনপুটফিট ট্যাগ ট্যাগ_উডিট_লগ:  
  । ইনপুটফিলস্টেটফাইলে অডিট_লগ  
  । ইনপুটফিলসভারিটি তথ্য  
  $ ইনপুটফিটফেসিটি লোকাল 6  
  $ InputRunFileMonitor
  

  নোট করুন যে imfileমডিউলটি আরএসস্লগ কনফিগারেশনে আগে লোড করা প্রয়োজন। এটি তার জন্য দায়ী লাইন:

  $ ModLoad imfile

  সুতরাং এটি আপনার rsyslog.confফাইলে রয়েছে কিনা তা পরীক্ষা করে দেখুন । যদি এটি সেখানে না থাকে তবে ### MODULES ###এই মডিউলটি সক্ষম করতে বিভাগের অধীনে এটি যুক্ত করুন ; অন্যথায়, নিরীক্ষণ লগিং জন্য উপরের কনফিগারেশন কাজ করবে না।

• প্রাপ্তি সার্ভারে ( rsyslog.conf):

  Host হোস্টএডিট টেমপ্লেট ""  
  local6। *
  

service rsyslog restartউভয় হোস্টে পরিষেবা ( ) পুনরায় চালু করুন এবং আপনার auditdবার্তা গ্রহণ করা শুরু করা উচিত ।

সর্বাধিক সুরক্ষিত এবং সঠিক পদ্ধতি হ'ল অডিএসপিডি সিসলগ প্লাগইন এবং / অথবা অডিস্প-রিমোট ব্যবহার করা ।

এটি দ্রুত কাজ করার জন্য আপনি /etc/audisp/plugins.d/syslog.conf সম্পাদনা করতে পারেন । এটি অক্ষম থাকলেও RHEL এটিকে ডিফল্টরূপে অন্তর্ভুক্ত করে। এটি সক্রিয় করতে আপনার কেবল একটি লাইন পরিবর্তন করতে হবে, সক্রিয় = হ্যাঁ ।

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

তবে এটি ডিফল্টরূপে খুব বেশি সুরক্ষিত নয়; সিসলগ হ'ল তার বেসে একটি অনিরাপদ প্রোটোকল, বিনা এনক্রিপ্টড, অযৌক্তিক এবং এর মূল ইউডিপি স্পেসিফিকেশনটিতে সম্পূর্ণ অবিশ্বস্ত। এটি সুরক্ষিত ফাইলগুলিতে প্রচুর তথ্য সঞ্চয় করে। লিনাক্স অডিট সিস্টেমটি সাধারণত সিসলোগে প্রেরণের চেয়ে আরও সংবেদনশীল তথ্য পরিচালনা করে, তাই এটি পৃথকীকরণ। অডিস্প-রিমোট কেরবেরোস প্রমাণীকরণ এবং এনক্রিপশনও সরবরাহ করে, তাই এটি সুরক্ষিত পরিবহণের মতো কাজ করে। অডিস্প-রিমোট ব্যবহার করে, আপনি অডিস্পডিটি ব্যবহার করে অস্ট্রেলিয়ান বার্তাগুলি আপনার সেন্ট্রাল সিসলোগ সার্ভারে চলমান একটি অডিস্প-রিমোট সার্ভারে প্রেরণ করবেন। অডিস্প-রিমোট তারপরে অডিসপিডি সিসলগ প্লাগইনটি সিসলগ ড্যামায়নে তাদের খাওয়ানোর জন্য ব্যবহার করবে।

তবে অন্যান্য পদ্ধতিও আছে! আরএসল্লগ খুব মজবুত! rsyslog এছাড়াও কার্বেরোস এনক্রিপশন, প্লাস টিএলএস সরবরাহ করে। এটি নিরাপদে কনফিগার করা হয়েছে তা নিশ্চিত করুন।

আপনি অডিস্প ব্যবহার করে সরাসরি সিসলগে লগ করতে পারেন, এটি অডিট প্যাকেজের অংশ। ডেবিয়ানে (আমি অন্য ডিস্ট্রোগুলিতে এখনও চেষ্টা করি নি) সম্পাদনা করুন:

/etc/audisp/plugins.d/syslog.conf

এবং সেট active=yes।