Windows/Linux

Audit.logをsyslogを利用して収集する方法

この記事は投稿日から1年以上経過しています。

当記事では、rsyslogを利用してAudit.logをsyslogサーバであるLogStare Collector (以下 : LSCと記載します) にて収集する方法を記載します。※環境はCentOS7.7です。

事前準備

  • LSCサーバのIP アドレスをチェックします。(syslog の転送先として設定いたします。)
    ※当記事では、172.23.61.59 をLSC サーバ、172.23.61.50をLinuxサーバとして扱います。

設定内容(Linux側)

  • /etc/audisp/plugins.d/syslog.confを編集します。本記事ではAudit.logのファシリティとしてlocal5を選択します。

変更前

# vi /etc/audisp/plugins.d/syslog.conf
active = no
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

変更後

# vi /etc/audisp/plugins.d/syslog.conf
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_LOCAL5
format = string
  • /etc/rsyslog.confを編集します。本記事では、ローカルにAudit.logを残さない設定を行います。
    ※ローカルにAudit.logを残す場合、「loca5.none」という記述は行わないでください。
# vi /etc/rsyslog.conf
~~省略~~
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
#以下に文言を追記#
*.info;mail.none;authpriv.none;cron.none;local5.none                /var/log/messages
~~省略~~
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
#以下に文言を追記#
local5.*
& @@172.23.61.59
  • サービスを再起動します。
# service auditd restart
# service rsyslog restart

以上で、LSCサーバにAudit.logが送信されます。

設定内容(LSC側)

  • LSCにて左側のスパナマークをクリックし監視・ログ収集設定を開きます。

  • デバイス・グループより新規デバイスを追加します。

  • 監視・収集より先程追加したデバイスを選択して、syslog収集を選択します。ファシリティとしてlocal5、プライオリティとしてinfoを指定しています。

上記設定にてLSCでAudit.logを収集できるようになります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

監視項目データベース更新案内(200521_01)前のページ

SYSLOG収集次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. ログフォワーダー「okurun.jar」について
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. NW機器

    Cisco 製品にSNMP (v1, v2c) / Syslog の設定を追加する (Cisco C…

    当記事では、Cisco 製品からSNMP 並びにSyslog を取得す…

  2. NW機器

    FortiGateにおける複数のSyslogサーバへログ転送を行う設定について

    当記事では、FortiGateにおける複数のSyslogサーバへログ転…

  3. Windows/Linux

    Apache(httpd)のアクセスログの収集について

    当記事では、Apache(httpd)のアクセスログの収集について記載…

  4. Windows/Linux

    .bash_historyの出力内容をLSCにて収集する方法

    当記事では、.bash_historyの出力内容をLogStare C…

secuavail

logstare collector

logstare collector

  1. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  2. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  3. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  4. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP