下記で改竄検知できるようになったのですが、
AIDEでファイルの改竄検知(CentOS6)当然、その情報を元に検知や解析を行いたくなります。
ということで、改竄検知の情報を下記のようなFluentdのログになるようにしてみました。
2013-02-09T22:41:46+09:00 parsed.syslog {"total":"384","added":"2","removed":"2","changed":"3"}
2013-02-09T22:42:41+09:00 parsed.syslog {"total":"384","added":"2","removed":"2","changed":"3"}
AIDEの出力の確認
実行すると次のように、確認したファイル数、追加されたファイル数、削除されたファイル数、変更されたファイル数、が出力されます。
# aide --update ... Summary: Total number of files: 384 Added files: 2 Removed files: 2 Changed files: 3 ...
AIDEの出力をSyslogにも出力
下記のように設定することでSyslogにも出力できます。# cat /etc/aide.conf ... report_url=syslog:LOG_AUTH ...上記に該当する出力は、Syslog内では下記のように出力されます。
# cat /var/log/messages ... Feb 9 21:23:43 ip-10-148-5-42 aide: #012Summary:#012 Total number of files:#011384#012 Added files:#011#011#0112#012 Removed files:#011#0112#012 Changed files:#011#0113#012 ...
Fluentdでまとめる
上記のログを、下記のようになるようにまとめます。2013-02-09T22:41:46+09:00 parsed.syslog {"total":"384","added":"2","removed":"2","changed":"3"}
2013-02-09T22:42:41+09:00 parsed.syslog {"total":"384","added":"2","removed":"2","changed":"3"}
今回はログのParseが必要なので"fluent-plugin-parser"をインストールして利用しました。# /usr/lib64/fluent/ruby/bin/gem install fluent-plugin-parser最終的な設定ファイルは下記のようにしています。
<source>
type tail
format syslog
path /opt/suz-lab/var/log/syslog/all.log
pos_file /opt/suz-lab/var/lib/td-agent/pos/tail.syslog.pos
tag tail.syslog
</source>
<match tail.syslog>
type copy
<store>
type file
path /tmp/tail.syslog
</store>
<store>
type parser
key_name message
format /011(?<total>[^ ]*).012.+011(?<added>[^ ]*).012.+011(?<removed>[^ ]*).012.+011(?<changed>[^ ]*).012/
tag parsed.syslog
</store>
</match>
<match parsed.syslog>
type file
path /tmp/parsed.syslog
</match>
※正規表現が"#"を入れると、どうしてもエラーになってしまい、ダサくなってしまった...ログの確認
何回もでてますが、下記のようなログになります。2013-02-09T22:41:46+09:00 parsed.syslog {"total":"384","added":"2","removed":"2","changed":"3"}
2013-02-09T22:42:41+09:00 parsed.syslog {"total":"384","added":"2","removed":"2","changed":"3"}
ということで、次はCloudWatchにこのデータを登録して...
--------
http://www.suz-lab.com
0 コメント:
コメントを投稿