Splunk Forwarder-->특정 이벤트를 모니터링/캡처하시겠습니까?

Splunk Forwarder-->특정 이벤트를 모니터링/캡처하시겠습니까?

현재 CentOS7을 실행 중입니다.

현재 Splunk Forwarder에 문제가 있습니다. 다음 사항에 대해 모든 Linux 시스템을 모니터링할 수 있어야 합니다. 다음 중 일부는 Windows 시스템에서만 작동할 수 있습니다. (저도 이를 모니터링하고 있지만 수행할 수 있는지 확인하기 위해 계속 게시하고 있습니다.)

  • auditd파일 액세스 거부됨 - Google이 이 섹션에서 언급했습니까?

  • 로그인이 거부되었습니다

  • 보안 그룹 변경 - 그룹 변경일 수 있음

  • 사용자 계정 활성화/비활성화(추가/제거)

  • 파일/폴더/및 디렉터리 권한 변경

  • 사용자 로그인/사용자 로그아웃

이러한 항목을 추가해야 하는 줄 뒤에는 /opt/splunkforwarder/bin/splunk add monitor특정 로그에 대한 경로가 따른다는 것을 알고 있습니다. 현재 내가 가지고 있는 것은 /var/log/다른 모든 것을 포착할 수 있는 모니터링(충분히 간단함)입니다. 하지만 Splunk Forwarders에 대한 경험이 있다면 이러한 종류의 활동을 모니터링하는 더 좋은 방법이 있는지 알려주십시오.

답변1

audit.rules 파일을 구성하여 이 작업을 수행할 수 있다는 것을 알았습니다. /etc/audit/rules.d/audit.rules.동일한 문제가 발생하는 향후 사용자에게 유용할 수 있도록 구성 파일을 게시하겠습니다. 지금 해야 할 유일한 작업은 이 정보를 캡처하도록 Splunk 포워더를 구성하는 것입니다.

#NOTE-IF YOU HAVE A 32-BIT SYSTEM YOU MUST CHANGE b64->b32 USE "%s/b64/b32/"

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024

# Feel free to add below this line. See auditctl man page
#Record events that modify account information
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity

#Record events that modify the network configuration
-a exit,always -F arch=b64 -S sethostname -S setdomainname -k system-locale
-w /etc/issue -p wa -k system-locale
-w /etc/issue.net -p wa -k system-locale
-w /etc/hosts -p wa -k system-locale
-w /etc/sysconfig/network -p wa -k system-locale

#Record logon and logout Events
-w /var/log/faillog -p wa -k logins
-w /var/log/lastlog -p wa -k logins

#Record process and session initiation information
-w /var/run/utmp -p wa -k session
-w /var/log/btmp -p wa -k session
-w /var/log/wtmp -p wa -k session

#Record discretionary access control permission modification events
-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod

#Record discretionary access control permission modification events
-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -F auid>=500 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b64 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=500 -F auid!=4294967295 -k perm_mod

#Record unauthorized access attempts to files unsuccessful
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate \
-F exit=-EACCES -F auid>=500 -F auid!=4294967295 -k access
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate \
-F exit=-EPERM -F auid>=500 -F auid!=4294967295 -k access

#Record information on exporting to Media (successful)
-a always,exit -F arch=b64 -S mount -F auid>=500 -F auid!=4294967295 -k export

#Record files deletion events by User (successful and unsuccessful)
-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=500 \
-F auid!=4294967295 -k delete

#Record system administrator actions
-w /etc/sudoers -p wa -k actions

#Record information on kernel module loading and unloading
-w /sbin/insmod -p x -k modules
-w /sbin/rmmod -p x -k modules
-w /sbin/modprobe -p x -k modules
-a always,exit -S init_module -S delete_module -k modules

관련 정보