2012年12月28日金曜日

CentOS(6)で"audit(d)"のログを"syslog"に出力

スズキです。

"audit(d)"のログは下記のように出力されます。
# cat /var/log/audit/audit.log
...
type=USER_LOGIN msg=audit(1356650120.217:43527): user pid=23041 uid=0 auid=4294967295 ses=4294967295 msg='op=login acct=28756E6B6E6F776E207573657229 exe="/usr/sbin/sshd" hostname=? addr=127.0.0.1 terminal=ssh res=failed'

このログを"syslog"にも出力するようにするには次のように設定します。
("active"を"no"から"yes"に変更)
# cat /etc/audisp/plugins.d/syslog.conf 
...
active = yes
direction = out
path = builtin_syslog
type = builtin 
args = LOG_INFO
format = string

(r)syslogを再起動すると上記の設定が反映されます。
# /etc/init.d/auditd restart
auditd を停止中:                                           [  OK  ]
auditd を起動中:                                           [  OK  ]

設定が反映すると、上述したログが"syslog"として下記のように出力されます。
# cat /var/log/messages
...
Dec 28 08:00:19 ip-10-0-0-87 audispd: node=ip-10-0-0-87 type=USER_LOGIN msg=audit(1356649219.815:43407): user pid=22805 uid=0 auid=4294967295 ses=4294967295 msg='op=login acct=28756E6B6E6F776E207573657229 exe="/usr/sbin/sshd" hostname=? addr=127.0.0.1 terminal=ssh res=failed'

後は下記のようにFluentdでS3に送ってGlacierでアーカイブして...

Fluentdで"Web Storage Archiveパターン"
"各種ログ → rsyslog → fluentd → S3 → Glacier"のパターンに持ち込めると楽...

--------
http://www.suz-lab.com

0 コメント: