CentOS Syslog日志审计实践

CentOS Syslog日志审计实践

一、基础配置

1. 安装与启动服务

   • 安装rsyslog：sudo yum install rsyslog。
   • 启用并启动服务：sudo systemctl enable --now rsyslog。

2. 配置远程日志接收

   • 编辑/etc/rsyslog.conf，添加以下内容接收远程日志（IP替换为目标服务器IP）：

     module(load="imtcp")  
     input(type="imtcp" port="514")  
     *.* @@192.168.1.100:514  # 远程服务器IP  
     

   • 重启服务：sudo systemctl restart rsyslog。

二、审计规则设置

1. 使用auditd记录关键操作

   • 安装auditd：sudo yum install audit。
   • 编辑规则文件/etc/audit/rules.d/audit.rules，添加规则（示例）：

     # 监控登录事件  
     -w /var/log/secure -p wa -k auth_log  
     # 监控文件访问（如/etc/passwd）  
     -w /etc/passwd -p rwa -k passwd_access  
     # 监控sudo命令  
     -w /var/log/sudo.log -p wa -k sudo_cmd  
     

   • 重启auditd：sudo systemctl restart auditd。

2. 关联Syslog与auditd

   • 配置rsyslog接收auditd日志：在/etc/rsyslog.conf中添加：

     module(load="imfile")  
     input(type="imfile" file="/var/log/audit/audit.log" tag="audit" facility="local6")  
     local6.* /var/log/audit_syslog.log  
     

   • 重启服务：sudo systemctl restart rsyslog。

三、日志轮转与存储

• 使用logrotate管理日志文件，编辑/etc/logrotate.d/audit：

  /var/log/audit/*.log {  
      daily  
      rotate 7  
      compress  
      missingok  
      create 0600 root root  
  }  
  

  重启logrotate：sudo systemctl restart logrotate。

四、分析与告警

1. 日志分析工具

   • 命令行工具：
     • ausearch：按关键字搜索审计日志，如ausearch -k passwd_access。
     • aureport：生成审计报告，如aureport -l（登录报告）。
   • 可视化工具：
     • ELK Stack：通过Logstash解析Syslog，Kibana可视化。
     • Graylog：集中管理日志，设置告警规则。

2. 实时监控与告警

   • 使用tail -f /var/log/audit_syslog.log实时查看日志。
   • 通过logwatch生成每日日志报告：sudo logwatch --output mail。

五、安全增强

• 加密传输：在rsyslog中启用TLS加密（需配置证书），保护日志传输安全。
• 权限控制：限制审计日志文件访问权限：sudo chmod 600 /var/log/audit/audit.log。

参考来源：