Windows/Linux

Audit.logをsyslogを利用して収集する方法

この記事は投稿日から3年以上経過しています。

当記事では、rsyslogを利用してAudit.logをsyslogサーバであるLogStare Collector (以下 : LSCと記載します) にて収集する方法を記載します。※環境はCentOS7.7です。

事前準備

  • LSCサーバのIP アドレスをチェックします。(syslog の転送先として設定いたします。)
    ※当記事では、172.23.61.59 をLSC サーバ、172.23.61.50をLinuxサーバとして扱います。

設定内容(Linux側)

  • /etc/audisp/plugins.d/syslog.confを編集します。本記事ではAudit.logのファシリティとしてlocal5を選択します。

変更前

# vi /etc/audisp/plugins.d/syslog.conf
active = no
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

変更後

# vi /etc/audisp/plugins.d/syslog.conf
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_LOCAL5
format = string
  • /etc/rsyslog.confを編集します。本記事では、ローカルにAudit.logを残さない設定を行います。
    ※ローカルにAudit.logを残す場合、「loca5.none」という記述は行わないでください。
# vi /etc/rsyslog.conf
~~省略~~
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
#以下に文言を追記#
*.info;mail.none;authpriv.none;cron.none;local5.none                /var/log/messages
~~省略~~
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
#以下に文言を追記#
local5.*
& @@172.23.61.59
  • サービスを再起動します。
# service auditd restart
# service rsyslog restart

以上で、LSCサーバにAudit.logが送信されます。

設定内容(LSC側)

  • LSCにて左側のスパナマークをクリックし監視・ログ収集設定を開きます。

  • デバイス・グループより新規デバイスを追加します。

  • 監視・収集より先程追加したデバイスを選択して、syslog収集を選択します。ファシリティとしてlocal5、プライオリティとしてinfoを指定しています。

上記設定にてLSCでAudit.logを収集できるようになります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

監視項目データベース更新案内(200521_01)前のページ

SYSLOG収集次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. Zabbixヒストリデータのレポート生成について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. SysmonForLinuxをUbuntuとAlmaLinuxに入れてログ取得

    Windows/Linux

    SysmonForLinuxをUbuntuとAlmaLinuxに入れてログ取ってみた

    今回はSysmon(プロセス作成、ネットワーク作成、ファイル操作等のW…

  2. Windows/Linux

    [Linux/Windows]IPアドレスとルーティング確認方法

    本記事では、初心者用として、LinuxとWindowsを用いてIPアド…

  3. NW機器

    FortiGateにおけるTLS通信を利用したSYSLOG送信方法

    当記事では、FortiGateにおけるTLS通信を利用してSyslog…

  4. Windows/Linux

    LinuxのFirewallログをLSCで収集する方法

    当記事では、LinuxのfirewallログをLogStare Col…

  5. NW機器

    FortiGateにてGUIにトラフィックログを表示するための設定方法

    FortiGateではトラフィックログを収集できますが、FortiGa…

LogStareセミナー

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  3. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  4. 実践記事

    DNSキャッシュポイズニングやってみた
  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP