[2] Transfer logów ze zdalnego hosta

6 marca 2022 Wyłączono przez Adam [zicherka] Nogły

Skonfiguruj Auditd, aby przesyłać logi do zdalnego hosta.

Ten przykład jest oparty na środowisku, jak poniżej.

[1] Skonfiguruj Auditd Host, który odbiera logi audytu ze zdalnych hostów.

[root@vlsr01 ~]# mcedit /etc/audit/auditd.conf
# linia 27: odkomentuj i wpisz port nasłuchujący
tcp_listen_port = 60

[root@vlsr01 ~]# service auditd restart

[2] Jeżeli Firewalld jest uruchomiony, zezwól na pracę w sieci usłudze Audit.

[root@vlsr01 ~]# firewall-cmd --add-service=audit --permanent
[root@vlsr01 ~]# firewall-cmd –reload

[3] Skonfiguruj host Klienta Audit, który będzie przesyłał logi.

[root@vlsr02 ~]# dnf install audispd-plugins

[root@vlsr02 ~]# mcedit /etc/audit/plugins.d/au-remote.conf
# linia 6: zmień
active = yes

[root@vlsr02 ~]# mcedit /etc/audit/audisp-remote.conf
# linia 6: host do którego są/będą przesyłane logi
remote_server = vlsr01.zicher.lab
# linia 7: port na którym działa usluga (skonfigurowany w serwerze jako port nasłuchujący)
port = 60

[root@vlsr02 ~]# mcedit /etc/audit/auditd.conf
# linia 9: zmień (nie zapisuj logów w lokalnym systemie plików)
log_format = NOLOG

[root@vlsr02 ~]# service auditd restart

[4] Jest OK, dzienniki audytu na zdalnych hostach są rejestrowane w następujący sposób.

[root@vlsr01 ~]# grep vlsr01 /var/log/audit/audit.log
type=SOFTWARE_UPDATE msg=audit(1646556624.399:102): pid=1343 uid=0 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=install sw="perl-Digest-1.17-395.el8.noarch" sw_type=rpm key_enforce=0 gpg_res=1 root_dir="/" comm="dnf" exe="/usr/libexec/platform-python3.6" hostname=vlsr01.zicher.lab addr=? terminal=pts/0 res=success'UID="root" AUID="root"
type=SOFTWARE_UPDATE msg=audit(1646556624.399:103): pid=1343 uid=0 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=install sw="perl-Digest-MD5-2.55-396.el8.x86_64" sw_type=rpm key_enforce=0 gpg_res=1 root_dir="/" comm="dnf" exe="/usr/libexec/platform-python3.6" hostname=vlsr01.zicher.lab addr=? terminal=pts/0 res=success'UID="root" AUID="root"
type=SOFTWARE_UPDATE msg=audit(1646556624.399:104): pid=1343 uid=0 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=install sw="perl-Data-Dumper-2.167-399.el8.x86_64" sw_type=rpm key_enforce=0 gpg_res=1 root_dir="/" comm="dnf" exe="/usr/libexec/platform-python3.6" hostname=vlsr01.zicher.lab addr=? terminal=pts/0 res=success'UID="root" AUID="root"
. . . . .