Splunk Forwarder-->特定のイベントを監視/キャプチャしますか?

tag-icon tag-icon logs monitoring
Splunk Forwarder-->特定のイベントを監視/キャプチャしますか?

現在CentOS7を実行しています。

現在、Splunk Forwarderに問題があります。次の点についてすべてのLinuxシステムを監視できる必要があります。次の一部はWindowsシステムでのみ機能できます。 (私もこれを監視していますが、実行できることを確認するために投稿を続けています。)

  • auditdファイルアクセスが拒否されました - Googleはこのセクションで言及しましたか?

  • ログインが拒否されました

  • セキュリティグループの変更 - グループ変更の可能性

  • ユーザーアカウントの有効化/無効化(追加/削除)

  • ファイル/フォルダ/およびディレクトリ権限の変更

  • ユーザーログイン/ユーザーログアウト

これらのエントリを追加する必要がある行の後には、/opt/splunkforwarder/bin/splunk add monitor特定のログへのパスが続くことがわかります。現在私が持っているのは、/var/log/他のすべてを捉えることができる監視(十分に簡単です)です。しかし、Splunk Forwardersの経験がある場合は、この種の活動を監視するより良い方法があるかどうかを教えてください。

ベストアンサー1

audit.rulesファイルを構成することでこれを行うことができることがわかりました。/etc/audit/rules.d/audit.rules.同じ問題が発生する将来のユーザーに役立つように構成ファイルを公開します。今やるべき唯一のことは、この情報をキャプチャするようにSplunkフォワーダーを設定することです。

#NOTE-IF YOU HAVE A 32-BIT SYSTEM YOU MUST CHANGE b64->b32 USE "%s/b64/b32/"

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024

# Feel free to add below this line. See auditctl man page
#Record events that modify account information
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity

#Record events that modify the network configuration
-a exit,always -F arch=b64 -S sethostname -S setdomainname -k system-locale
-w /etc/issue -p wa -k system-locale
-w /etc/issue.net -p wa -k system-locale
-w /etc/hosts -p wa -k system-locale
-w /etc/sysconfig/network -p wa -k system-locale

#Record logon and logout Events
-w /var/log/faillog -p wa -k logins
-w /var/log/lastlog -p wa -k logins

#Record process and session initiation information
-w /var/run/utmp -p wa -k session
-w /var/log/btmp -p wa -k session
-w /var/log/wtmp -p wa -k session

#Record discretionary access control permission modification events
-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod

#Record discretionary access control permission modification events
-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -F auid>=500 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b64 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=500 -F auid!=4294967295 -k perm_mod

#Record unauthorized access attempts to files unsuccessful
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate \
-F exit=-EACCES -F auid>=500 -F auid!=4294967295 -k access
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate \
-F exit=-EPERM -F auid>=500 -F auid!=4294967295 -k access

#Record information on exporting to Media (successful)
-a always,exit -F arch=b64 -S mount -F auid>=500 -F auid!=4294967295 -k export

#Record files deletion events by User (successful and unsuccessful)
-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=500 \
-F auid!=4294967295 -k delete

#Record system administrator actions
-w /etc/sudoers -p wa -k actions

#Record information on kernel module loading and unloading
-w /sbin/insmod -p x -k modules
-w /sbin/rmmod -p x -k modules
-w /sbin/modprobe -p x -k modules
-a always,exit -S init_module -S delete_module -k modules

おすすめ記事