如何使用CentOS Syslog进行安全审计

使用CentOS Syslog进行安全审计可按以下步骤操作：

1. 安装与启用基础服务

   • 安装rsyslog（默认已安装）：sudo yum install rsyslog
   • 启用并启动服务：sudo systemctl enable --now rsyslog

2. 配置审计规则

   • 使用auditd记录关键事件：
     • 安装auditd：sudo yum install audit
     • 编辑规则文件/etc/audit/rules.d/audit.rules，添加如监控登录、文件访问等规则：

       # 记录所有登录事件
       -w /var/log/secure -p wa -k auth
       # 记录用户执行的命令
       -a always,exit -S execve -k exec_commands
       

     • 重启auditd：sudo systemctl restart auditd
   • 通过rsyslog集中管理日志：
     • 编辑/etc/rsyslog.conf，将审计日志（如/var/log/audit/audit.log）转发至远程服务器或指定文件：

       # 示例：将审计日志保存到本地文件
       local6.* /var/log/audit.log
       

     • 重启rsyslog：sudo systemctl restart rsyslog

3. 保护日志安全

   • 限制访问权限：确保日志文件仅允许授权用户读取，如：
     sudo chmod 600 /var/log/audit/audit.log
   • 启用日志轮转：编辑/etc/logrotate.d/audit，设置按天轮转并保留7天日志：

     /var/log/audit/audit.log {
         daily
         rotate 7
         compress
         missingok
     }
     

4. 分析与监控日志

   • 使用工具解析日志：
     • ausearch：按关键字查询审计日志，如sudo ausearch -k auth。
     • aureport：生成审计报告，如sudo aureport -au（用户活动报告）。
   • 设置实时监控与告警：通过logwatch或Prometheus监控日志异常，触发告警。

5. 合规性验证

   • 定期检查审计覆盖范围，确保包含用户行为、登录事件、权限变更等关键信息。
   • 确保日志保留时长符合安全要求（如至少6个月）。

参考来源：