Ubuntu Syslog日志审计技巧

Ubuntu Syslog日志审计技巧

一 快速自检与基线

• 确认日志服务运行状态：检查 rsyslog 是否运行（Ubuntu 默认使用 rsyslog），命令：sudo systemctl status rsyslog；如启用内核/命令级审计，检查 auditd：sudo systemctl status auditd。
• 查看审计规则是否生效：sudo auditctl -l（若提示无权限或命令不存在，说明 auditd 未安装或未运行）。
• 定位关键日志文件：系统与应用日志通常在 /var/log/，重点包括 syslog、auth.log、kern.log；内核与引导日志可通过 journalctl 查询（如 journalctl -k）。
• 基线核查要点：确认日志采集、存储、轮转策略已启用，且具备基本的查询与告警手段。

二 配置Syslog采集与转发

• 选择并确认 Syslog 引擎：Ubuntu 常用 rsyslog；如需更强路由与解析可评估 syslog-ng。
• 本地分类与落盘示例（编辑 /etc/rsyslog.d/40-audit.conf）：
  • 将安全类日志单独落盘：auth,authpriv.* /var/log/auth.log
  • 将错误级别及以上集中记录：*.err /var/log/error.log
• 远程集中日志（UDP 示例）：*.* @192.0.2.10:514；如需可靠传输可用 TCP（在 rsyslog 中启用相应模块并使用 @@ 前缀）。
• 避免重复与循环：在转发后使用 & stop 终止后续匹配；必要时关闭重复消息压缩（如 RepeatedMsgReduction off）以便取证完整性。
• 使配置生效：sudo systemctl restart rsyslog。

三 命令行高效审计与报表

• 实时与检索：
  • 实时跟踪：tail -f /var/log/syslog
  • 关键字定位：grep -i "error" /var/log/syslog
  • 时间范围检索（journalctl）：journalctl --since "2025-11-15 00:00:00" --until "2025-11-15 12:00:00"
• 统计与结构化分析：
  • 按条件计数：awk '/Jun 17/ {count++} END {print count}' /var/log/syslog
  • 字段提取与报表：awk '/ERROR/ {print $1,$2,$3,$9}' /var/log/error.log
• 报表与告警：
  • 安装并使用 Logwatch 生成日报/周报：sudo apt-get install logwatch，可自定义 /etc/logwatch/conf/logwatch.conf 输出范围与收件人。
  • 简单阈值告警脚本（示例）：

    #!/usr/bin/env bash
    LOG=/var/log/error.log
    MAIL=admin@example.com
    if grep -qi "ERROR" "$LOG"; then
      echo "Error found in $LOG" | mail -s "Syslog Alert" "$MAIL"
    fi
    

    加入定时任务：0 * * * * /path/to/alert.sh。

四 进阶 命令历史与集中化检索

• 将 Bash 命令历史统一发往 Syslog（便于还原会话）：
  • 在 /etc/profile.d/bash.audit.sh 中为 root 与交互式 bash 用户注入记录逻辑，使用 logger -t history[$$] -p local4.debug "user cmd" 将命令写入 local4 设施；
  • 在服务端或本机创建 rsyslog 规则：local4.* /var/log/history.log 并重启 rsyslog；
  • 为保持时序可采用定时任务（如每 10 分钟）读取并上报 .bash_history 的新增行，同时清空已上报内容（注意多终端时序与并发写入问题）。
• 结构化与检索增强：
  • 使用 rsyslog mmjsonparse + omelasticsearch 将 Syslog 结构化后写入 Elasticsearch，以 @timestamp、host、program、severity 等字段建立索引，便于 Kibana 可视化与快速检索。
• 合规提示：命令历史仅能作为取证辅助，关键行为建议结合 auditd/ebpf 等内核级审计能力。

五 安全与合规要点

• 日志完整性与抗篡改：限制日志目录与文件的访问权限（如仅 root 可读写），集中化存储与备份，必要时启用传输加密与完整性校验。
• 日志轮转与留存：通过 logrotate 管理 /var/log/ 下日志的轮转、压缩与保留周期（如 /etc/logrotate.d/syslog），满足容量与合规要求。
• 监控与告警：对 auth.log 的失败登录、sudo 提权、*.err 错误激增等设定阈值告警，结合 Logwatch 或集中平台实现日报/周报与异常趋势识别。
• 合规框架：按 SOX、PCI DSS、HIPAA 等要求明确日志采集范围、留存周期、访问审计与告警流程，定期演练取证与追溯。