Настройка журналирования событий Kerberos#
Настройка журналирования событий Kerberos на контроллере домена#
На первом этапе необходимо настроить службу Kerberos. Для этого необходимо:
В файле
/lib/systemd/system/krb5-kdc.serviceв параметрReadWriteDirectoriesдобавить/var/log.Перечитать файл:
systemctl daemon-reload.Перезапустить службу:
systemctl restart krb5-kdc.service.
Настройка журналирования событий Kerberos на контроллере домена выполняется после предварительной настройки службы syslog-ng, а также настройки точки пересылки журналов в службе syslog-ng (создание файла конфигурации
/etc/syslog-ng/siem/destination.conf) в соответствии с описанием в разделе (если такая настройка не проводилась ранее). Затем необходимо создать файл конфигурации для фильтрации событий Kerberos.
Для настройки журналирования событий Kerberos на контроллере домена необходимо создать файл конфигурации /etc/syslog-ng/siem/output-krb-audit.conf с правами на чтение для всех пользователей и внести в него следующую информацию:
source s_krb_audit {
file("/var/log/krb5kdc.log" follow-freq(1) flags(no-parse) );
};
filter f_krb_audit {
match("AS_REQ" value("MESSAGE")) or match("TGS_REQ" value("MESSAGE"));
};
log {
source(s_krb_audit);
filter(f_krb_audit);
rewrite
{
set-tag("tag-krb-audit");
};
destination(d_audit);
};
После выполнения действий необходимо перезапустить службу syslog-ng на контроллере домена с помощью команды:
systemctl restart syslog-ng
Настройка журналирования событий Kerberos на сервере аудита#
Настройка журналирования событий Kerberos на сервере аудита выполняется после предварительной настройки службы syslog-ng, а также настройки точки сбора журналов в службе syslog-ng (создание файла конфигурации
/etc/syslog-ng/siem/source.conf) в соответствии с описанием в разделе (если такая настройка не проводилась ранее). Затем необходимо создать файл конфигурации для фильтрации событий Kerberos.
Для настройки журналирования событий Kerberos на контроллере домена необходимо создать файл конфигурации /etc/syslog-ng/siem/input-krb-audit.conf с правами на чтение для всех пользователей и внести в него следующую информацию:
destination d_krb_audit_file {
file("/var/log/aldpro/krb_audit.log" template("${MESSAGE}\n"));
};
filter f_krb_audit {
message("tag-krb-audit");
};
log {
source(s_net);
filter(f_krb_audit);
rewrite {
subst(" tag-krb-audit,.source.s_krb_audit", "", value("MESSAGE"));
};
destination(d_krb_audit_file);
};
После выполнения действий необходимо перезапустить службу syslog-ng на сервере аудита с помощью команды:
systemctl restart syslog-ng