Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Убунту

Отправка журналов Auditd на центральный сервер Ubuntu 22.04

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Шаги по настройке сервера для логирования
  4. Шаги по настройке клиентских машин
  5. Проверка работы системы
  6. Заключение

Вопрос или проблема

Я хочу настроить ведение логов с помощью auditd на нескольких клиентах и отправить их логи на центральный сервер логирования (с использованием пакета audispd-plugins).

Я следовал нескольким руководствам:

https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
https://levelup.gitconnected.com/linux-auditing-system-centralized-logging-to-remote-server-9644089702fb

Но я не вижу логи клиента в /var/log/audit/audit.log на центральном сервере.

Вот мои шаги

Сервер логирования

sudo apt install -y auditd

Отредактируйте файл конфигурации логирования, чтобы разрешить прослушивание порта 60.

sudo vim /etc/audit/auditd.conf

Добавьте следующую строку.

tcp_listen_port = 60

Отредактируйте /etc/audit/auditd.conf, чтобы иметь следующую строку:

name_format = hostname

Перезапустите демон.

sudo service auditd restart

Клиенты логирования

Установите auditd и audispd

sudo apt install -y audispd-plugins

Измените /etc/audit/rules.d

Используйте следующий шаблон и обновите /etc/audit/rules.d: https://github.com/Neo23x0/auditd/blob/master/audit.rules

sudo su
cd /etc/audit/rules.d
rm audit.rules
wget https://raw.githubusercontent.com/Neo23x0/auditd/master/audit.rules

Измените настройки для отправки логов на сервер логирования

vim /etc/audit/audisp-remote.conf

Добавьте следующее в верхнюю часть файла конфигурации.

remote_server = <ip сервера логирования>
port = 60

Отредактируйте /etc/audit/auditd.conf, чтобы иметь следующую строку:

name_format = hostname

Активируйте плагины удаленного логирования
Откройте следующий файл.

vim /etc/audit/plugins.d/au-remote.conf

Отредактируйте файл, чтобы он соответствовал следующему.

active = yes

Наконец, перезапустите службу.

service auditd restart

Я сдался с этим на несколько месяцев и недавно попробовал снова. По-видимому, “слушатель” отключен по умолчанию, когда вы устанавливаете пакет на Ubuntu.

Смотрите следующую ссылку: https://xn--blgg-hra.no/2016/01/auditd-in-ubuntu-not-listening/

Вместо этого я использовал Debian в качестве центрального сервера логирования, и это работает.

Вы проверяли наличие ошибок в журнале?

journalctl -xef -u auditd.service

Ответ или решение

Настройка удаленной передачи логов Auditd на центральный сервер может быть непростой задачей. В этой статье мы рассмотрим важные шаги, которые помогут вам успешно отправить логи с клиентских машин на центральный сервер с использованием Auditd и пакета audispd-plugins на Ubuntu 22.04.

Шаги по настройке сервера для логирования

  1. Установка Auditd:
    Убедитесь, что на вашем центральном сервере установлен пакет Auditd. Используйте следующую команду:

    sudo apt install -y auditd

  2. Настройка конфигурации Auditd:
    Откройте конфигурационный файл Auditd для редактирования:

    sudo vim /etc/audit/auditd.conf

    Добавьте или измените следующие строки:

    tcp_listen_port = 60
name_format = hostname

  3. Перезапуск службы Auditd:
    После внесения изменений важно перезапустить службу Auditd, чтобы изменения вступили в силу:

    sudo service auditd restart

Шаги по настройке клиентских машин

  1. Установка необходимых пакетов:
    Убедитесь, что на ваших клиентских машинах установлены пакеты auditd и audispd-plugins:

    sudo apt install -y audispd-plugins auditd

  2. Настройка правил для Auditd:
    Перейдите в каталог, содержащий правила Auditd, и загрузите необходимые файлы правил. Ваша команда может выглядеть следующим образом:

    sudo su
cd /etc/audit/rules.d
rm audit.rules
wget https://raw.githubusercontent.com/Neo23x0/auditd/master/audit.rules

  3. Настройка конфигурации удаленной отправки логов:
    Откройте файл конфигурации для удаленной отправки логов:

    vim /etc/audit/audisp-remote.conf

    Добавьте информацию о центральном сервере:

    remote_server = <ip-адрес вашего сервера>
port = 60

  4. Активация плагинов удаленного логирования:
    Откройте файл конфигурации плагина для удаленной отправки логов:

    vim /etc/audit/plugins.d/au-remote.conf

    Убедитесь, что строка active = yes присутствует или добавьте ее, если нет.

  5. Перезапуск Auditd на клиентских машинах:
    После внесения всех изменений перезагрузите службу Auditd на клиентских машинах:

    sudo service auditd restart

Проверка работы системы

Если вы не видите логи на центральном сервере, выполните следующие действия для диагностики:

  1. Проверка ошибок:
    Используйте следующую команду для проверки ошибок в журнале Auditd:

    journalctl -xef -u auditd.service

  2. Настройки брандмауэра:
    Убедитесь, что порт 60 открыт на центральном сервере и доступен для клиентских машин. Используйте ufw для настройки правил брандмауэра:

    sudo ufw allow 60/tcp

Заключение

Настройка удаленной передачи логов Auditd требует внимательного подхода к деталям. Убедитесь, что все конфигурации выполнены корректно и проверьте файлы журналов на предмет ошибок. Если у вас возникают дополнительные сложности, возможно, стоит рассмотреть использование другой операционной системы, как это уже делали пользователи на Debian-системах.

Эти шаги помогут вам организовать надежную систему централизованного логирования на основе Auditd, что повысит безопасность и упростит мониторинг активности в вашей инфраструктуре.

22.04 logging server
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности