如何使用CentOS Syslog進行安全審計

使用CentOS Syslog進行安全審計可按以下步驟操作：

1. 安裝與啟用基礎服務

   • 安裝rsyslog（默認已安裝）：sudo yum install rsyslog
   • 啟用并啟動服務：sudo systemctl enable --now rsyslog

2. 配置審計規則

   • 使用auditd記錄關鍵事件：
     • 安裝auditd：sudo yum install audit
     • 編輯規則文件/etc/audit/rules.d/audit.rules，添加如監控登錄、文件訪問等規則：

       # 記錄所有登錄事件
       -w /var/log/secure -p wa -k auth
       # 記錄用戶執行的命令
       -a always,exit -S execve -k exec_commands
       

     • 重啟auditd：sudo systemctl restart auditd
   • 通過rsyslog集中管理日志：
     • 編輯/etc/rsyslog.conf，將審計日志（如/var/log/audit/audit.log）轉發至遠程服務器或指定文件：

       # 示例：將審計日志保存到本地文件
       local6.* /var/log/audit.log
       

     • 重啟rsyslog：sudo systemctl restart rsyslog

3. 保護日志安全

   • 限制訪問權限：確保日志文件僅允許授權用戶讀取，如：
     sudo chmod 600 /var/log/audit/audit.log
   • 啟用日志輪轉：編輯/etc/logrotate.d/audit，設置按天輪轉并保留7天日志：

     /var/log/audit/audit.log {
         daily
         rotate 7
         compress
         missingok
     }
     

4. 分析與監控日志

   • 使用工具解析日志：
     • ausearch：按關鍵字查詢審計日志，如sudo ausearch -k auth。
     • aureport：生成審計報告，如sudo aureport -au（用戶活動報告）。
   • 設置實時監控與告警：通過logwatch或Prometheus監控日志異常，觸發告警。

5. 合規性驗證

   • 定期檢查審計覆蓋范圍，確保包含用戶行為、登錄事件、權限變更等關鍵信息。
   • 確保日志保留時長符合安全要求（如至少6個月）。

參考來源：