Category: System Setting (系统设置)

Posted on

[步骤] auditd 日志传送到远端的日志搜集服务器的设置 (rsyslog 版) (RHEL 版)

正文:

步骤一:将 auditd 日志转换为系统日志

1.1 安装 audispd-plugins 组件 (只在 RHEL 8 和 RHEL 8 之后版本的 RHEL 上操作)

# dnf install audispd-plugins

(注意:只在 RHEL 8 和 RHEL 8 之后版本的 RHEL 上进行此操作)

1.2 将 auditd 日志转换为系统日志

如果是 RHEL 7 和 RHEL 7 之前的版本 RHEL:

# vim /etc/audisp/plugins.d/syslog.conf

将部分内容修改如下:

......
active = yes
......
args = LOG_INFO LOG_LOCAL3
......

(补充:这里以将 auditd 日志转换成系统的 local3 日志为例)

如果是 RHEL 8 和 RHEL 8 之后版本的 RHEL:

# vim /etc/audit/plugins.d/syslog.conf

将部分内容修改如下:

......
active = yes
......
args = LOG_INFO LOG_LOCAL3
......

(补充:这里以将 auditd 日志转换成系统的 local3 日志为例)

步骤二:将系统日志中的 auditd 日志传送到远端的日志搜集服务器

# vi /etc/rsyslog.conf

添加以下内容:

......
local3.info        @remotesyslog.com
local3.info        stop

(补充:这里以将 local3 日志传送到远端的日志搜集服务器 remotesyslog.com 为例)

步骤三:让刚刚修改的 auditd 配置文件生效

如果是 RHEL 6 和 RHEL 6 之前的版本 RHEL:

# service rsyslog restart
# service auditd restart

如果是 RHEL 7 和 RHEL 7 之后版本的 RHEL:

# systemctl restart rsyslog
# service auditd restart

步骤四:检测 auditd 日志是否传送到了远端的日志搜集服务器

4.1 在本地生成 auditd 日志用于检测

# auditctl -m "This is a test auditd message from client"

(补充:这里以在 auditd 日志里写入 1 条内容是 “This is a test auditd message from client” 的日志为例)

4.2 查看本地的系统日志

# tail -f /var/log/messages
...... auditd[......]: ......

(补充:此时可以看到 /var/log/messages 系统日志里有和 auditd 相关的日志)

4.3 在远端的日志搜集服务器检测是否收到 auditd 日志

(步骤略)

参考文献:

https://access.redhat.com/solutions/28676

Posted on

[步骤] bond 网卡捆绑组的添加 (CentOS Linux & RHEL 版) (nmtui 版)

步骤一:使用 nmtui 命令进入 nmtui 界面

# nmtui

步骤二:进入创建 bond 的界面

Edit a connection --> <Add> --> Bond

步骤三:在创建 bond 的界面里填写 bond 界面里的资料

3.1 填写 Profile name 后面的资料

Profile name

给 bond 设置 1 个身份名称 (必须设置)

(补充:建议是 bond0)

3.2 填写 Device 后面的资料

Device

给 bond 设置 1 个设备名称 (必须设置)

(补充:建议是 bond0)

3.3 填写 Mode: 后面的资料

Mode:

3.4 填写 Active Backup 后面的资料

Active Backup

(补充:强烈建议改成 Active Backup)

3.5 IPv4 CONFIGURATION: 后面的资料

IPv4 CONFIGURATION:
<Manual>

(补充:需要修改成 Manual 后才能手动配置 IP 地址)

3.6 配置 IP 地址、子网掩码、网关

(步骤略)

步骤四:在创建 bond 的界面里填写添加 bond 子网卡

4.1 进入添加 bond 子网卡的界面

BOND Slaves --> <ADD> --> Ethernet

4.2 在添加 bond 子网卡的界面里填写 bond 界面里的资料

Profile name

给 bond 子网卡设置 1 个设备名称 (必须设置)

(补充:建议是 bond0-slave)

Device

给 bond 子网卡选择 1 个设备名称 (必须设置)

Posted on

[步骤] Linux 命令的监控 (audit 版)

正文:

步骤一:添加监控命令的 audit 规则

1.1 添加监控命令的 audit 规则的格式

配置文件格式:

-w <command> -p x -k <search_key>

命令格式:

# auditcl -w <command> -p x -k <search_key>


补充:
1) 这里的 <command> 是要监控的命令
2) 这里的 <search_key> 是个标识,用于简化在 audit 日志里搜索此命令

1.2 添加监控命令的 audit 规则的案例

配置文件的案例:

-w /usr/bin/rm -p x -k rm_command

命令案例:

# auditcl -w /usr/bin/rm -p x -k rm_command


补充:这里以
1) 监控 /usr/bin/rm 命令
2) 标识是 rm_command 为例

步骤二:让刚刚添加的规则生效

2.1 合并新添加的 audit 规则

# augenrules

2.2 重启 auditd 服务

# service auditd restart

步骤三:查看新添加的规则

# auditctl -l

步骤四:查看某个表示的 audit 日志

# ausearch -k rm_command

(补充:这里以查看标识为 rm_command 的 audit 日志为例)

参考文献:

https://access.redhat.com/solutions/3401281