Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Настройка получения событий Auditd

KUMA позволяет осуществлять мониторинг и проводить аудит событий Auditd на устройствах Linux.

Перед настройкой получения событий убедитесь, что вы создали коллектор KUMA для событий Auditd.

Настройка получения событий Auditd состоит из следующих этапов:

  1. Настройка коллектора KUMA для получения событий Auditd.
  2. Настройка сервера источника событий.
  3. Проверка поступления событий Auditd в коллектор KUMA.

    Вы можете проверить, что настройка сервера источника событий Auditd выполнена правильно, выполнив поиск связанных событий в веб-интерфейсе KUMA.

В этом разделе

Настройка коллектора KUMA для получения событий Auditd

Настройка сервера источника событий
В начало
[Topic 239760]

Настройка коллектора KUMA для получения событий Auditd

На шаге Транспорт выберите тип коннектора TCP или UDP и переведите переключатель Auditd в активное положение.

После создания коллектора для настройки получения событий с помощью rsyslog требуется установить коллектор на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

В начало
[Topic 239795]

Настройка сервера источника событий

Для передачи событий от сервера в коллектор KUMA используется сервис rsyslog.

Чтобы настроить передачу событий от сервера в коллектор:

  1. Проверьте, что на сервере источнике событий установлен сервис rsyslog. Для этого выполните следующую команду:

    systemctl status rsyslog.service

    Если сервис rsyslog не установлен на сервере, установите его, выполнив следующую команду:

    yum install rsyslog

    systemctl enable rsyslog.service

    systemctl start rsyslog.service

  2. Отредактируйте файл настроек сервиса audit.service /etc/audit/auditd.conf и измените значение параметра name_format, присвоив этому параметру значение NONE:

    name_format=NONE

    После изменения настроек перезапустите сервис auditd с помощью команды:

    sudo systemctl restart auditd.service

  3. В папке /etc/rsyslog.d создайте файл audit.conf со следующим содержанием в зависимости от используемого протокола:
    • Для отправки событий по протоколу TCP:

      $ModLoad imfile

      $InputFileName /var/log/audit/audit.log

      $InputFileTag tag_audit_log:

      $InputFileStateFile audit_log

      $InputFileSeverity info

      $InputFileFacility local6

      $InputRunFileMonitor

      *.* @@<IP-адрес коллектора KUMA>:<порт коллектора KUMA>

      Например:

      *.* @@192.1.3.4:5858

    • Для отправки событий по протоколу UDP:

      $ModLoad imfile

      $InputFileName /var/log/audit/audit.log

      $InputFileTag tag_audit_log:

      $InputFileStateFile audit_log

      $InputFileSeverity info

      $InputFileFacility local6

      $InputRunFileMonitor

      template(name="AuditFormat" type="string" string="<%PRI%>%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag% %msg%\n")

      *.* @<IP-адрес коллектора KUMA>:<порт коллектора KUMA>

      Например:

      *.* @192.1.3.4:5858;AuditFormat

  4. Сохраните изменения в файле audit.conf.
  5. Перезапустите сервис rsyslog, выполнив следующую команду:

    systemctl restart rsyslog.service

Сервер источника событий настроен. Данные о событиях передаются с сервера в коллектор KUMA.

В начало
[Topic 239849]