Alt Linux
Общие данные
Платформа Радар поддерживает сбор событий с версии "Альт Рабочая станция 10.0" и выше.
Для журналирования событий используются следующие службы:
rsyslog- служба журналирования для отправки событий в платформу;auditd- отвечает за запись сообщений аудита вызванных активностью приложений или системы.
Примечание: по умолчанию управление журналами в ОС осуществляется службами
systemd-journaldиjournalct.В целях организации безопасной передачи данных на агент сбора лог-коллектора по протоколу
TCP, а также обеспечения возможности фильтрации сообщений по источникам и их содержимому предлагается установить пакетrsyslog(см. раздел Настройка службы rsyslog).
Характеристики источника в Платформе Радар:
| Характеристика | Значение |
|---|---|
| Название | Linux-Alt |
| Номер (Порт) | 2692 |
| Вендор | BaseAltSPO |
| Тип | Linux |
| Профиль сбора | tcp_input |
Настройка источника включает в себя следующие процессы:
Настройка службы rsyslog
В файле /etc/systemd/journald.conf включите пересылку записи журналов в syslog:
Storage=none
ForwardToSyslog=yes
rsyslog:
# apt-get install rsyslog-classic
В конфигурационном файле /etc/rsyslog.d/00_common.conf укажите адрес лог-коллектора, добавив следующую строку:
auth,authpriv.* @@<IP-адрес агента сбора лог-коллектора>:port
Где:
<ip-адрес агента сбора лог-коллектора>- IP-адрес агента сбора лог-коллектора;port- порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора.
Чтобы служба rsyslog принимала и отправляла поток событий от службы auditd, необходимо создать файл /etc/rsyslog.d/30-auditd.conf и указать в нем следующие параметры:
module(load="imfile" mode="inotify" PollingInterval="10")
input(type="imfile" File="/var/log/audit/audit.log"
Severity="info"
Facility="local6")
local6.* @@<IP-адрес агента сбора лог-коллектора>:port
Где:
<ip-адрес агента сбора лог-коллектора>- IP-адрес агента сбора лог-коллектора;port- порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора.
Перезапустите службу:
# service rsyslogd restart
Настройка службы auditd
Службы auditd и audispd-plugins установлены в системе по умолчанию.
Выполните настройку файла /etc/audit/rules.d/extended.rules в соответствии с рекомендациями раздела Настройка правил расширенного аудита.
В конфигурационном файле /etc/audit/plugins.d/syslog.conf укажите следующие параметры:
active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string
Перезапустите службу.
Включение источника на платформе
Перейдите в веб-интерфейс платформы и включите источник Linux-Alt.