CentOS Syslog日志審計實踐

CentOS Syslog日志審計實踐

一、基礎配置

1. 安裝與啟動服務

   • 安裝rsyslog：sudo yum install rsyslog。
   • 啟用并啟動服務：sudo systemctl enable --now rsyslog。

2. 配置遠程日志接收

   • 編輯/etc/rsyslog.conf，添加以下內容接收遠程日志（IP替換為目標服務器IP）：

     module(load="imtcp")  
     input(type="imtcp" port="514")  
     *.* @@192.168.1.100:514  # 遠程服務器IP  
     

   • 重啟服務：sudo systemctl restart rsyslog。

二、審計規則設置

1. 使用auditd記錄關鍵操作

   • 安裝auditd：sudo yum install audit。
   • 編輯規則文件/etc/audit/rules.d/audit.rules，添加規則（示例）：

     # 監控登錄事件  
     -w /var/log/secure -p wa -k auth_log  
     # 監控文件訪問（如/etc/passwd）  
     -w /etc/passwd -p rwa -k passwd_access  
     # 監控sudo命令  
     -w /var/log/sudo.log -p wa -k sudo_cmd  
     

   • 重啟auditd：sudo systemctl restart auditd。

2. 關聯Syslog與auditd

   • 配置rsyslog接收auditd日志：在/etc/rsyslog.conf中添加：

     module(load="imfile")  
     input(type="imfile" file="/var/log/audit/audit.log" tag="audit" facility="local6")  
     local6.* /var/log/audit_syslog.log  
     

   • 重啟服務：sudo systemctl restart rsyslog。

三、日志輪轉與存儲

• 使用logrotate管理日志文件，編輯/etc/logrotate.d/audit：

  /var/log/audit/*.log {  
      daily  
      rotate 7  
      compress  
      missingok  
      create 0600 root root  
  }  
  

  重啟logrotate：sudo systemctl restart logrotate。

四、分析與告警

1. 日志分析工具

   • 命令行工具：
     • ausearch：按關鍵字搜索審計日志，如ausearch -k passwd_access。
     • aureport：生成審計報告，如aureport -l（登錄報告）。
   • 可視化工具：
     • ELK Stack：通過Logstash解析Syslog，Kibana可視化。
     • Graylog：集中管理日志，設置告警規則。

2. 實時監控與告警

   • 使用tail -f /var/log/audit_syslog.log實時查看日志。
   • 通過logwatch生成每日日志報告：sudo logwatch --output mail。

五、安全增強

• 加密傳輸：在rsyslog中啟用TLS加密（需配置證書），保護日志傳輸安全。
• 權限控制：限制審計日志文件訪問權限：sudo chmod 600 /var/log/audit/audit.log。

參考來源：