Настройка журналирования событий создания и запуска нового процесса пользователем#
Настройка журналирования событий создания и запуска нового процесса пользователем на контроллере домена#
Для настройки журналирования событий создания и запуска нового процесса пользователем на контроллере домена необходимо создать файл /etc/audit/rules.d/siem.rules со следующим содержимым (или добавить в этот файл следующие строки, если он уже создан):
-a always,exit -F arch=b32 -S execve -F auid>=1000
-a always,exit -F arch=b64 -S execve -F auid>=1000
Внести в файл /etc/audit/audit.conf следующее изменение (для установки максимального размера файла /var/log/audit/audit.log в мегабайтах):
max_log_file = 500
И перезапустить службу auditd командой:
systemctl restart auditd
Настройка журналирования событий создания и запуска нового процесса пользователем на контроллере домена выполняется после предварительной настройки службы syslog-ng, а также настройки точки пересылки журналов в службе syslog-ng (создание файла конфигурации /etc/syslog-ng/siem/destination.conf) в соответствии с описанием в разделе (если такая настройка не проводилась ранее). Затем необходимо создать файл конфигурации для фильтрации событий создания и запуска нового процесса пользователем.
Для настройки журналирования событий создания и запуска нового процесса пользователем на контроллере домена необходимо создать файл конфигурации /etc/syslog-ng/siem/output-user-proc.conf с правами на чтение для всех пользователей и внести в него следующую информацию:
source s_user_proc {
file("/var/log/audit/audit.log" flags(no-parse) persist-name("user_proc") follow-freq(1));
};
filter f_user_proc {
match("syscall=59" value("MESSAGE"));
};
log {
source(s_user_proc);
filter(f_user_proc);
destination(d_audit);
};
После выполнения действий необходимо перезапустить службу syslog-ng на контроллере домена с помощью команды:
systemctl restart syslog-ng
Настройка журналирования событий создания и запуска нового процесса пользователем на сервере аудита#
Настройка журналирования событий создания и запуска нового процесса пользователем на сервере аудита выполняется после предварительной настройки службы syslog-ng, а также настройки точки сбора журналов в службе syslog-ng (создание файла конфигурации /etc/syslog-ng/siem/source.conf) в соответствии с описанием в разделе (если такая настройка не проводилась ранее). Затем необходимо создать файл конфигурации для фильтрации событий создания и запуска нового процесса пользователем.
Для настройки журналирования событий создания и запуска нового процесса пользователем на сервере аудита необходимо создать файл конфигурации /etc/syslog-ng/siem/input-user-proc.conf с правами на чтение для всех пользователей и внести в него следующую информацию:
destination d_user_proc {
file("/var/log/aldpro/userproc.log" template("${MESSAGE}\n"));
};
filter f_user_proc {
match("syscall=59" value("MESSAGE"));
};
log {
source(s_net);
filter(f_user_proc);
rewrite {
subst(" .source.s_user_proc", "", value("MESSAGE"));
};
destination(d_user_proc);
};
После выполнения действий необходимо перезапустить службу syslog-ng на сервере аудита с помощью команды:
systemctl restart syslog-ng