Windows/Linux

Audit.logをsyslogを利用して収集する方法

この記事は投稿日から4年以上経過しています。

当記事では、rsyslogを利用してAudit.logをsyslogサーバであるLogStare Collector (以下 : LSCと記載します) にて収集する方法を記載します。※環境はCentOS7.7です。

若手エンジニア志望者を募集!支度金あり

更新履歴

2020/06/16 新規公開しました。
2023/10/10 rsyslog.confの記載内容を一部修正しました。

事前準備

  • LSCサーバのIP アドレスをチェックします。(syslog の転送先として設定いたします。)
    ※当記事では、172.23.61.59 をLSC サーバ、172.23.61.50をLinuxサーバとして扱います。

設定内容(Linux側)

  • /etc/audisp/plugins.d/syslog.confを編集します。本記事ではAudit.logのファシリティとしてlocal5を選択します。

変更前

# vi /etc/audisp/plugins.d/syslog.conf
active = no
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

変更後

# vi /etc/audisp/plugins.d/syslog.conf
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_LOCAL5
format = string
  • /etc/rsyslog.confを編集します。本記事では、ローカルにAudit.logを残さない設定を行います。
    ※ローカルにAudit.logを残す場合、「loca5.none」という記述は行わないでください。
# vi /etc/rsyslog.conf
~~省略~~
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
#以下に文言を追記#
*.info;mail.none;authpriv.none;cron.none;local5.none                /var/log/messages
~~省略~~
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
#以下に文言を追記#
local5.* @@172.23.61.59
  • サービスを再起動します。
# service auditd restart
# service rsyslog restart

以上で、LSCサーバにAudit.logが送信されます。

設定内容(LSC側)

  • LSCにて左側のスパナマークをクリックし監視・ログ収集設定を開きます。

  • デバイス・グループより新規デバイスを追加します。

  • 監視・収集より先程追加したデバイスを選択して、syslog収集を選択します。ファシリティとしてlocal5、プライオリティとしてinfoを指定しています。

上記設定にてLSCでAudit.logを収集できるようになります。

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

監視項目データベース更新案内(200521_01)前のページ

SYSLOG収集次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. ログフォワーダー「okurun.jar」について
  3. Zabbixヒストリデータのレポート生成について
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. Windows/Linux

    CloudWatch監視に必要な権限について

    当記事では、CloudWatch監視に必要な権限について記載します。…

  2. NW機器

    FortiOS v5.6.6におけるログ出力仕様の変更について

    FortiOS v5.6.6より、従来のログ出力方式に仕様変更が行われ…

  3. AWS/Azure

    自社製品をAMIにしてAWSマーケットプレイスへ出品

    はじめにかねてより弊社製品のAWSマーケットプレイス出品を目論んで…

  4. Windows/Linux

    .bash_historyの出力内容をLSCにて収集する方法

    当記事では、.bash_historyの出力内容をLogStare C…

  5. NW機器

    BUFFALO製スマートスイッチにおけるSNMP設定

    当記事では、BUFFALO製スマートスイッチにSNMP の設定を投入す…

  6. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す

    当記事では、AWSマーケットプレイス上に無償版として出品されているLo…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  3. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  4. 実践記事

    DNSキャッシュポイズニングやってみた
  5. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP