Содержание

KUMA позволяет осуществлять мониторинг и проводить аудит событий Auditd на устройствах Linux.

Перед настройкой получения событий убедитесь, что вы создали коллектор KUMA для событий Auditd.

Настройка получения событий Auditd состоит из следующих этапов:

Установка коллектора KUMA в сетевой инфаструктуре.
Настройка сервера источника событий.
Проверка поступления событий Auditd в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий Auditd выполнена правильно, выполнив поиск связанных событий в веб-интерфейсе KUMA.

В этом разделе

После создания коллектора для настройки получения событий с помощью rsyslog требуется установитьколлектор на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

Для передачи событий от сервера в коллектор KUMA используется сервис rsyslog.

Чтобы настроить передачу событий от сервера в коллектор:

Проверьте, что на сервере источнике событий установлен сервис rsyslog. Для этого выполните следующую команду:
systemctl status rsyslog.service

Если сервис rsyslog не установлен на сервере, установите его, выполнив следующую команду:

yum install rsyslog

systemctl enable rsyslog.service

systemctl start rsyslog.service
В папке /etc/rsyslog.d создайте файл audit.conf со следующим содержанием:
$ModLoad imfile

$InputFileName /var/log/audit/audit.log

$InputFileTag tag_audit_log:

$InputFileStateFile audit_log

$InputFileSeverity info

$InputFileFacility local6

$InputRunFileMonitor

*.* @<ip адрес коллектора KUMA>:<порт коллектора KUMA>

Если вы хотите отправлять события по протоколу TCP, вместо последней строки в файле вставьте следующую:
*.* @@<ip адрес коллектора KUMA>:<порт коллектора KUMA>.
Сохраните изменения в файле audit.conf.
Перезапустите сервис rsyslog, выполнив следующую команду:
systemctl restart rsyslog.service

Сервер источника событий настроен. Данные о событиях передаются с сервера в коллектор KUMA.