Windows/Linux

Audit.logをsyslogを利用して収集する方法

この記事は投稿日から4年以上経過しています。

当記事では、rsyslogを利用してAudit.logをsyslogサーバであるLogStare Collector (以下 : LSCと記載します) にて収集する方法を記載します。※環境はCentOS7.7です。

更新履歴

2020/06/16 新規公開しました。
2023/10/10 rsyslog.confの記載内容を一部修正しました。

事前準備

  • LSCサーバのIP アドレスをチェックします。(syslog の転送先として設定いたします。)
    ※当記事では、172.23.61.59 をLSC サーバ、172.23.61.50をLinuxサーバとして扱います。

設定内容(Linux側)

  • /etc/audisp/plugins.d/syslog.confを編集します。本記事ではAudit.logのファシリティとしてlocal5を選択します。

変更前

# vi /etc/audisp/plugins.d/syslog.conf
active = no
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

変更後

# vi /etc/audisp/plugins.d/syslog.conf
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_LOCAL5
format = string
  • /etc/rsyslog.confを編集します。本記事では、ローカルにAudit.logを残さない設定を行います。
    ※ローカルにAudit.logを残す場合、「loca5.none」という記述は行わないでください。
# vi /etc/rsyslog.conf
~~省略~~
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
#以下に文言を追記#
*.info;mail.none;authpriv.none;cron.none;local5.none                /var/log/messages
~~省略~~
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
#以下に文言を追記#
local5.* @@172.23.61.59
  • サービスを再起動します。
# service auditd restart
# service rsyslog restart

以上で、LSCサーバにAudit.logが送信されます。

設定内容(LSC側)

  • LSCにて左側のスパナマークをクリックし監視・ログ収集設定を開きます。

  • デバイス・グループより新規デバイスを追加します。

  • 監視・収集より先程追加したデバイスを選択して、syslog収集を選択します。ファシリティとしてlocal5、プライオリティとしてinfoを指定しています。

上記設定にてLSCでAudit.logを収集できるようになります。

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

監視項目データベース更新案内(200521_01)前のページ

SYSLOG収集次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. ログフォワーダー「okurun.jar」について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. NW機器

    LogStare Collectorにて、UNIVERGE IXシリーズ のSNMP監視をするための…

    当記事では、LogStare Collectorにおける UNIVER…

  2. NW機器

    Allied Telesis(インテリジェント・エッジ・スイッチ)にSNMP v1/SNMPv2c設…

    当記事では、Allied Telesis社のインテリジェント・エッジ・…

  3. NW機器

    Cisco 製品にSNMP (v1, v2c) / Syslog の設定を追加する (Cisco C…

    当記事では、Cisco 製品からSNMP 並びにSyslog を取得す…

  4. NW機器

    ネットワーク機器への不正接続の検知(PaloAlto)

    ネットワーク機器の空きポートに機器が接続された場合に、管理者へメールを…

  5. Windows/Linux

    LinuxのFirewallログをLSCで収集する方法

    当記事では、LinuxのfirewallログをLogStare Col…

  6. Windows/Linux

    SSH接続切断時にプログラムが停止する理由と対処法

    処理に時間のかかるプログラムをSSHから実行していたのですが、別の作業…

LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  2. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  3. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  4. 実践記事

    DNSキャッシュポイズニングやってみた
  5. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP