添加Unix设备
最后更新于:
概述
Log360 支持您在 UNIX 设备上配置 Syslog 服务,将日志转发至 EventLog Analyzer 服务器进行集中监控。配置完成后,该解决方案可帮助您追踪系统活动、用户登录/注销、身份验证失败尝试、账户变更、可移动磁盘使用情况、FTP 操作、系统事件等。凭借丰富的预构建 UNIX 专用报表,Log360 助力管理员检测异常、调查事件并确保合规性。
在UNIX设备上配置Syslog服务
手动配置日志转发步骤
注意请记录不同协议使用的默认端口号。
默认端口号及对应协议
- 513 & 514 UDP
- 514 TCP
- 513 TLS
使用以下命令查找使用的 Syslog 服务
ps aux | grep syslog
该命令将返回当前运行的Syslog服务。
请根据所使用的 Syslog 服务,按照以下步骤配置向 EventLog Analyzer 服务器的日志转发。
- 根据协议在配置文件中添加所需条目。重启syslog守护进程服务以应用更改
- syslogd
- 文件路径:/etc/syslog.conf
- UDP:
*.*<空格/制表符>@<eventloganalyzer_server_name>:<port_no>
- rsyslogd
- 文件路径:/etc/rsyslog.conf
- UDP:
*.*<空格/制表符>@<eventloganalyzer_server_name>:<port_no>
- TCP:
*.*<空格/制表符>@@<eventloganalyzer_server_name>:<port_no>
- TLS:
注意:添加上述条目前请检查先决条件
$DefaultNetstreamDriverCAFile <CACertificate>
$ActionSendStreamDriver gtls
$ActionSendStreamDriverMode 1
$ActionSendStreamDriverAuthMode x509/name
$ActionSendStreamDriverPermittedPeer <通用名称>
*.*<空格/制表符>@@<事件日志分析器服务器名称>:<端口号>
- syslog-ng
- 文件路径:/etc/syslog-ng/syslog-ng.conf
- <source_name> 可通过 syslog-ng.conf 文件中现有源配置中的 system(); 和 internal(); 调用获取
例如:此处 <source_name> 应为 "s_src"
source s_src {
system();
internal();
};
- UDP:
destination d_eventloganalyzer { network(<eventloganalyzer_server_name> port(<port>) transport("udp")); }; log { source(<source_name>); destination(d_eventloganalyzer); };
- TCP:
目标 d_eventloganalyzer { 网络(<eventloganalyzer_server_name> 端口(<port>) 传输("tcp")); }; 日志 { 源(<source_name>); 目标(d_eventloganalyzer); };
- TLS:
注意:添加以下条目前请检查先决条件
目标 d_eventloganalyzer { 网络(<eventloganalyzer_server_name> 端口(<port>) 传输("tls") tls(密钥文件("/path/to/private.key") 证书文件("/path/to/certificate.crt") ca-目录("/path/to/ca/directory"))); }; 日志 { 源(<source_name>); 目标(d_eventloganalyzer); };
- syslogd
-
使用以下命令保存配置并重启Syslog守护进程
service <syslog/rsyslog/syslog-ng> restart
或
systemctl restart <syslog/rsyslog/syslog-ng>
前提条件:
- 请在server.xml中启用HTTPS并配置有效证书。点击此处了解如何配置有效SSL证书。
- 证书存储仅支持pfx格式,若使用密钥库格式请转换为pfx格式。
使用自签名证书:
- 应用自签名证书后,将在<EventLogAnalyzer_Home>/Certificates目录生成名为ca.crt的文件。
- 在客户端配置日志转发时,请将此文件作为根证书使用。
使用其他证书:
- 配置日志转发时,请向证书供应商获取根证书。
- 若需使用上述默认端口以外的其他端口,请在端口管理设置中进行指定。
- CommonName 值应与证书文件中给定的值相同。
将应用程序/审核日志转发至EventLog Analyzer服务器
若需转发特定应用程序日志或审计日志,则需在Linux设备中对rsyslog.conf(或)syslog.conf进行以下配置:
- 在 MODULES 部分,检查是否包含 "$ModLoad imfile"。(该模块 "imfile" 可将任何输入文本文件转换为 syslog 消息,随后可转发至事件日志分析服务器。)
- 以下指令包含外部日志文件的详细信息:
$InputFileName<监控文件绝对路径>
$InputFileStateFile<状态文件名>
$InputFileSeverity<严重性级别>
$InputFileFacility<功能模块>
$InputRunFileMonitor - 要转发日志,必须提供以下行:<Facility>.<Severity> @Host-Ip:Port
示例:
$InputFileName /var/log/sample.log
$InputFileStateFile sample
$InputFileSeverity info
$InputFileFacility local6
local6.info @eventloganalyzer-Server:514
此处/var/log/sample.log是待转发的外部文件。
- 这些说明适用于所有 Linux 设备。
- 请为 不同的<Monitored_File_Absolute_Path>使用唯一的<State_Filename> 。
- 在转发审计日志时,具有安全增强功能(SElinux)的 Red Hat 系统中的默认策略有时会阻止读取审计日志。请参考故障排除技巧。
安装软件包的语法:
- CentOS/RHEL系统:
yum install <软件包名称>
- Ubuntu系统:
apt-get install <软件包名称>
- 其他Linux发行版请参考官方网站进行软件包安装。
重要提示:以下权限仅适用于单个用户。
sudo用户与非sudo用户的自动日志转发权限:
授予 rsyslog.conf [或] syslog.conf 文件的权限。
setfacl -m u:<用户名>:rw /etc/rsyslog.conf [或] /etc/syslog.conf
示例:
syslog.conf:setfacl -m u:testuser:rw /etc/syslog.conf
rsyslog.conf:setfacl -m u:testuser:rw /etc/rsyslog.conf
请按照以下说明为非sudo用户授予syslog/rsyslog服务的重启权限:
- 使用 root 用户配置权限。
- 请执行以下命令:
visudo -f /etc/sudoers.d/<username>
- 在sudoers文件中添加以下行:
<username> ALL=NOPASSWD: /usr/sbin/service <syslog/rsyslog> restart
示例:- visudo -f /etc/sudoers.d/testuser
- testuser ALL=NOPASSWD: /usr/sbin/service rsyslog restart
- 验证时请执行以下命令:
cat /etc/sudoers.d/<username>
示例:cat /etc/sudoers.d/testuser
预期输出:testuser ALL=NOPASSWD: /usr/sbin/service rsyslog restart
注意:必须安装 acl 软件包。安装前需确保文件系统已启用 acl 支持。更多详情请参阅官方文档 [ref]。
Unix事件报表
EventLog Analyzer 为 Unix 设备提供丰富的开箱即用报表和告警配置文件。借助这些功能,您可以审计系统事件(如软件包安装和更新)、追踪重要事件(如磁盘空间不足)等。 您还可基于设备、告警类型或严重性审核关键事件。除关键事件外,您还能追踪Unix系统上的其他事件,包括cron任务、会话连接/断开、已停用服务等。
Unix 登录报表
此处将提供Unix设备特有的各类登录类型记录,包括SU、SSH及FTP登录。此外,顶级登录报表会按用户、设备、远程设备及登录方式对这些登录行为进行分类。登录趋势报表可实时呈现Unix登录的整体趋势变化,有助于发现异常波动——此类波动可能预示恶意活动。
- 用户登录
- SU登录
- SSH登录
- FTP 或 SFTP 登录
- 登录概述
- 基于用户的顶级登录
- 基于设备的顶级登录
- 基于远程设备的顶级登录
- 顶级 Unix 登录方式
- 登录趋势
Unix 注销报表
此处将提供Unix设备特有的各类注销记录,包括SU、SSH、FTP及用户注销操作。注销概览报表实时呈现整体趋势动态。
- 用户注销
- SU注销
- SSH 注销
- FTP 或 SFTP 注销
- 注销概览
Unix登录失败报表
该报表组可协助监控任何Unix设备中的登录失败情况。基于用户、设备及远程设备的顶级失败报表将帮助识别异常数量的登录失败事件,此类事件可能预示攻击行为。此外,将单独列出存在反复登录失败的设备。
- 用户登录失败
- SU登录失败
- SSH登录失败
- FTP 或 SFTP 登录失败
- 登录失败概览
- 基于用户的顶级登录失败
- 基于设备的顶级登录失败
- 基于远程设备的顶级失败登录
- 按登录失败方法排序
- 登录失败趋势
- 重复身份验证失败
- 无效用户登录尝试
- 因密码过长导致的登录失败
- 基于远程设备的重复登录失败
- 基于远程设备的重复身份验证失败
Unix用户账户管理
该报表组可监控用户账户、组及密码的关键变更,包括创建、删除、组修改、用户账户修改及密码修改等操作。
- 新增用户账户
- 已删除用户账户
- 重命名用户账户
- 已添加的组
- 已删除的组
- 重命名组
- 密码更改
- 密码更改失败
- 用户添加失败
- Unix账户管理重要事件
Unix可移动磁盘审计
这些报表可追踪Unix设备中的可移动磁盘活动。
- USB插入
- USB 拔出
SUDO命令
本组报表可确保超级用户的安全权限不被滥用。
- SUDO命令执行
- SUDO命令执行失败
- 顶级SUDO命令执行
- 最常失败的 SUDO 命令执行
趋势报表
本组报表提供 Unix 设备活动趋势的概览。
- 每周报表
- 每小时报表
Unix 邮件服务器报表
这些报表有助于监控 Unix 邮件服务器。'Top' 报表提供 Unix 邮件服务器的使用统计数据。本报表组还包含用于监控邮箱使用情况、整体趋势、邮件投递及命令执行的报表。
- 邮件发送概览
- 邮件接收概览
- 基于发件人的主要邮件发送
- 基于远程设备的发送邮件排行榜
- 来自远程设备的收件量前十邮件
- 顶级发件人域名
- 主要收件人域名
- 邮件发送趋势报表
- 邮件接收趋势报表
- 基于发件人被拒邮件排行榜
- 邮件被拒收的顶级接收方
- 邮件拒收错误排行榜
- 被拒收域名排行榜
- 邮件拒收概览
- 邮箱不可用
- 存储空间不足
- 命令序列错误
- 电子邮件地址错误
- 远程端不存在的电子邮件地址
- 常见邮件错误
- 基于发件人的常见邮件错误
- 邮件投递失败
Unix 威胁
本组报表及其对应的告警配置文件可帮助发现并缓解Unix设备常见的安全威胁。
- 反向查找错误
- 设备配置错误
- ISP 错误
- 远程设备连接无效
- 拒绝服务攻击
Unix NFS事件
这些报表有助于监控使用网络文件共享(NFS)协议在远程系统中存储的文件。
- NFS挂载成功
- 拒绝的 NFS 挂载
- 基于用户的拒绝NFS挂载
- 基于远程设备的顶级成功NFS挂载
- 基于远程设备的顶级拒绝NFS挂载
Unix 其他事件
本报表组包含用于监控 Unix 事件的报表,例如超时或被拒绝的连接、更新失败、设备名称与地址不匹配错误等。该组还包含用于监控 cron 作业或计划稍后执行的命令的报表。
- Cron 任务
- Cron编辑
- Cron 任务已启动
- Cron 任务终止
- 连接被软件中断
- 接收标识符字符串
- 会话已连接
- 会话断开
- 已停用的服务
- 不支持的协议版本
- 登录超时
- 更新失败
- 设备名称不匹配错误
- 设备地址不匹配错误
- 基于用户的顶级cron任务
Unix FTP 服务器报表
该报表组提供多种监控 Unix 设备中文件传输协议 (FTP) 使用情况的报表。监控此协议对数据安全至关重要。
- 文件下载
- 文件上传
- 数据传输停滞超时
- 登录超时
- 会话空闲超时
- 无传输超时
- 连接超时
- FTP报表概览
- 基于用户的顶级FTP操作
- 基于远程设备的顶级FTP操作
Unix系统事件
通过这些报表可监控关键Unix系统事件,包括Yum安装、Syslog服务停止/重启、系统关机及磁盘空间不足等状态。
- Syslog服务已停止
- Syslog服务已重启
- 磁盘空间不足
- 系统已关闭
- Yum安装
- Yum 更新
- Yum 卸载
Unix严重性报表
本报表组将Unix事件按八个不同严重性级别进行分类呈现,该分类体系有助于事件与告警的优先级排序。
- 紧急事件
- 告警事件
- 重大事件
- 错误事件
- 警告事件
- 通知事件
- 信息事件
- 调试事件
Unix 关键事件报表
该报表组基于事件级别、事件类型、设备信息及整体趋势,对关键事件进行深入分析。
- 事件严重性级别
- 基于事件的关键报表
- 基于设备的严重事件
- 基于远程设备的严重事件
- 关键事件趋势
- 关键事件概览
VMWare登录/注销
该报表组用于监控安装在Unix设备上的虚拟机登录/注销操作。此类报表根据事件类型、状态及事件数量对事件进行分类。
- 用户登录
- SU登录
- SSH登录
- SFTP 登录
- 登录概览
- 基于用户的顶级登录
- 基于远程设备的顶级登录
- 登录失败
- 失败的SU登录
- SSH登录失败
- FTP 或 SFTP 登录失败
- 登录失败概览
- 基于用户的顶级登录失败
- 基于远程设备的顶级登录失败
- 用户注销
- 系统注销
- SSH 注销
- SFTP 注销
- 注销概览
VMWare系统事件
本组报表用于监控安装在Unix设备上的虚拟机系统事件。可通过这些报表追踪用户账户创建与修改、登录活动、磁盘空间可用性及密码变更等操作。
- 用户账户添加
- 用户帐户已删除
- 用户账户重命名
- 群组已添加
- 群组已删除
- 群组重命名
- 密码更改
- 密码更改失败
- 用户添加失败
- 系统日志服务已停止
- 系统日志服务已重启
- 磁盘空间不足
- 系统已关闭
VMWare服务器事件
可通过这些报表监控虚拟机特有的关键事件,如虚拟机创建、删除、修改以及客户机登录操作。
- 虚拟机上的访客登录
- 虚拟机创建
- 虚拟机已删除
- 虚拟机状态变更
- 主要虚拟机变更
- 虚拟机事件概览
AS400报表
本报表组用于监控 AS400 设备的变化。所有关键系统变更、登录事件、硬件错误、配置修改等均可通过此报表进行追踪。
- 登录
- 登录失败
- 注销
- 授权失败
- 权限变更
- 用户配置文件变更
- 对象删除
- 工作变更
- 所有权变更
- 登录失败(因密码无效)
- 系统值变更报表
- 成功的工作启动
- 成功结束作业
- 任务日志
- 设备配置
- 系统时间变更
- 子系统从工作站移除
- ASP存储阈值已达
- ASP存储限制已超出
- 磁盘单元错误
- 过期系统ID报表
- 无法写入审计记录
- 因最大登录尝试次数限制而禁用用户配置文件
- 弱电池报表
- 电池故障报表
- 系统密码绕过期结束
- 存储目录达到阈值
- 严重存储状况报表
- 电池缓存过期报表
- i5宽限期到期报表
- 临时I/O处理器错误
- 系统处理器故障
- 硬件错误
- 基于用户的顶级登录
- 基于用户的顶级登录失败
- 基于用户的顶级作业