各Unix平台日志审计的配置方法和步骤VIP

各Unix平台日志审计的配置方法和步骤TOC\o"1-2"\h\z\u1 安装部署方法和步骤 21.1 日志采集 21.2 Aix6.1部署 21.3 Aix5.3部署 31.4 Aix5.2部署 41.5 Aix4.3部署 51.6 Solaris10部署 61.7 Solaris9部署 71.8 Solaris8部署 81.9 HPUX11.23部署 91.10 HPUX11.31部署 101.11 HPUX11.11部署 111.12 suse11部署 131.13 suse10部署 141.14 suse9部署 151.15 部署 162 /etc/syslog.conf中SSIMSyslog接收地址的确定 183 预制脚本的下载和执行 193.1 预制脚本的下载 193.2 AIX平台自动配置脚本的执行 194 各Unix平台须要运用的脚本汇总 20安装部署方法和步骤日志采集采集内容依据日志审计的要求，我们重点关注用户的登录、登出行为和系统守护程序的运行状态。基于此，我们主要采集Unix系统的一下syslog日志：—用户认证、授权日志，包括用户登录、登出、切换等—用户认证、授权日志，包括用户登录、登出、切换等，和auth功能类似，不同系统有所不同。—系统守护进程日志，比如ftp等用户登录胜利和失败的日志。采集方式对于Unix系统自带的syslog日志，通过修改系统的syslog发送配置选项，由自身的syslog进程，将日志发送到SSIM日志采集机对于登录胜利、失败日志，有些操作系统syslog不产生该类日志，通过定期执行脚本，读取登录日志文件，并发送到syslog进程，由其统一转发到SSIM日志采集机。Aix6.1部署Syslog配置执行chssys-ssyslogd-a""（由于做过平安加固，导致syslog发送不出来，须要通过该吩咐修改）修改/etc/syslog.conf文件，在最终增加以下内容：＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整重启syslogdstopsrc-ssyslogdstartsrc-ssyslogdTelnet胜利登录采集脚本部署增加采集日志脚本增加采集脚本wtmp.sh到/var/adm书目下，wtmp.sh脚本内容请参考文件wtmp.sh：修改wtmp.sh文件属性，增加可执行权限：chmod+xwtmp.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。Aix5.3部署Syslog配置执行chssys-ssyslogd-a""（由于做过平安加固，导致syslog发送不出来，须要通过该吩咐修改）修改/etc/syslog.conf文件，在最终增加以下内容：＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整重启syslogdstopsrc-ssyslogdstartsrc-ssyslogdTelnet胜利登录采集脚本部署增加采集日志脚本增加采集脚本wtmp.sh到/var/adm书目下，wtmp.sh脚本内容请参考文件wtmp.sh：修改wtmp.sh文件属性，增加可执行权限：chmod+xwtmp.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。Aix5.2部署Syslog配置执行chssys-ssyslogd-a""（由于做过平安加固，导致syslog发送不出来，须要通过该吩咐修改）修改/etc/syslog.conf文件，在最终增加以下内容：＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整重启syslogdstopsrc-ssyslogdstartsrc-ssyslogdTelnet胜利登录采集脚本部署增加采集日志脚本增加采集脚本wtmp.sh到/var/adm书目下，wtmp.sh脚本内容请参考文件wtmp.sh：修改wtmp.sh文件属性，增加可执行权限：chmod+xwtmp.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。Aix4.3部署Syslog配置执行chssys-ssyslogd-a""（由于做过平安加固，导致syslog发送不出来，须要通过该吩咐修改）修改/etc/syslog.conf文件，在最终增加以下内容：＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整重启syslogdstopsrc-ssyslogdstartsrc-ssyslogdTelnet胜利登录采集脚本部署增加采集日志脚本增加采集脚本wtmp.sh到/var/adm书目下，wtmp.sh脚本内容请参考文件wtmp.sh：修改wtmp.sh文件属性，增加可执行权限：chmod+xwtmp.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。Solaris10部署Syslog配置修改系统login参数vi/etc/default/login取消SYSLOG和SYSLOG_FAILED_LOGINS的注释，并设置相应的参数：SYSLOG=YESSYSLOG_FAILED_LOGINS=0vi/etc/syslog.conf，在文件最终面增加以下两行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整重启一下syslogd:svcadmrestart/system/system-log部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。Solaris9部署Syslog配置修改系统login参数vi/etc/default/login取消SYSLOG和SYSLOG_FAILED_LOGINS的注释，并设置相应的参数：SYSLOG=YESSYSLOG_FAILED_LOGINS=0vi/etc/syslog.conf，在文件最终面增加以下两行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整重启一下syslogd:/etc/init.d/syslogstop/etc/init.d/syslogstart部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。Solaris8部署Syslog配置修改系统login参数vi/etc/default/login取消SYSLOG和SYSLOG_FAILED_LOGINS的注释，并设置相应的参数：SYSLOG=YESSYSLOG_FAILED_LOGINS=0vi/etc/syslog.conf，在文件最终面增加以下两行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整重启一下syslogd:/etc/init.d/syslogstop/etc/init.d/syslogstart部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。HPUX11.23部署Syslog配置vi/etc/syslog.conf，在文件最终面增加以下两行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存退出注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整重启一下syslogd:#/sbin/init.d/syslogdstop#/sbin/init.d/syslogdstartTelnet胜利登录采集脚本部署增加采集日志脚本增加采集脚本wtmps.sh到/var/adm书目下，wtmps.sh脚本内容请参考文件wtmps.sh:修改wtmps.sh文件属性，增加可执行权限：chmod+xwtmps.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmps.sh>/dev/null2>&1Telnet失败登录采集脚本部署增加采集日志脚本增加采集脚本btmps.sh到/var/adm书目下，btmps.sh脚本内容请参考文件btmps.sh:修改btmps.sh文件属性，增加可执行权限：chmod+xbtmps.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/btmps.sh>/dev/null2>&1部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。HPUX11.31部署Syslog配置vi/etc/syslog.conf，在文件最终面增加以下两行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存退出注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整重启一下syslogd:#/sbin/init.d/syslogdstop#/sbin/init.d/syslogdstartTelnet胜利登录采集脚本部署增加采集日志脚本增加采集脚本wtmps.sh到/var/adm书目下，wtmps.sh脚本内容请参考文件wtmps.sh:修改wtmps.sh文件属性，增加可执行权限：chmod+xwtmps.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmps.sh>/dev/null2>&1Telnet失败登录采集脚本部署增加采集日志脚本增加采集脚本btmps.sh到/var/adm书目下，btmps.sh脚本内容请参考文件btmps.sh:修改btmps.sh文件属性，增加可执行权限：chmod+xbtmps.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/btmps.sh>/dev/null2>&1部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。HPUX11.11部署Syslog配置vi/etc/syslog.conf，在文件最终面增加以下两行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存退出注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整重启一下syslogd:#/sbin/init.d/syslogdstop#/sbin/init.d/syslogdstartTelnet胜利登录采集脚本部署增加采集日志脚本增加采集脚本wtmp.sh到/var/adm书目下，wtmp.sh脚本内容请参考文件wtmp.sh:修改wtmp.sh文件属性，增加可执行权限：chmod+xwtmp.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1Telnet失败登录采集脚本部署增加采集日志脚本增加采集脚本btmp.sh到/var/adm书目下，btmp.sh脚本内容请参考文件btmp.sh:修改btmp.sh文件属性，增加可执行权限：chmod+xbtmp.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/btmp.sh>/dev/null2>&1部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。suse11部署Syslog配置vi/etc/syslog-ng/syslog-ng.conf.in在最终面增加：destinationssimloghost{udp("<SSIMSyslog接收地址>"port(514));};filterauth_daemon{facility(auth,authpriv,daemon);};log{source(src);filter(auth_daemon);destination(ssimloghost);};保存退出注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整重启syslog-ng:/etc/init.d/syslogstartTelnet胜利登录采集脚本部署增加采集日志脚本增加采集脚本wtmp.sh到/var/adm书目下，wtmp.sh脚本内容请参考文件wtmp.sh:修改wtmp.sh文件属性，增加可执行权限：chmod+xwtmp.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。suse10部署Syslog配置vi/etc/syslog-ng/syslog-ng.conf.in在最终面增加：destinationssimloghost{udp("<SSIMSyslog接收地址>"port(514));};filterauth_daemon{facility(auth,authpriv,daemon);};log{source(src);filter(auth_daemon);destination(ssimloghost);};保存退出注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整执行吩咐SuSEconfig--modulesyslog-ng重启syslog-ng:/etc/init.d/syslogstartTelnet胜利登录采集脚本部署增加采集日志脚本增加采集脚本wtmp.sh到/var/adm书目下，wtmp.sh脚本内容请参考文件wtmp.sh:修改wtmp.sh文件属性，增加可执行权限：chmod+xwtmp.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。suse9部署Syslog配置vi/etc/syslog.conf，在文件最终面增加以下三行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存退出注：<SSIMSyslog接收地址>，依据服务器和SSIM采集机所处的网段进行调整重启一下syslogd:/sbin/rcsyslogrestartTelnet胜利登录采集脚本部署增加采集日志脚本增加采集脚本wtmp.sh到/var/adm书目下，wtmp.sh脚本内容请参考文件wtmp.sh:修改wtmp.sh文件属性，增加可执行权限：chmod+xwtmp.sh增加crontab执行任务以root用户登录系统，执行crontab–e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署结果测试在主机侧进行telnet登录胜利和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够刚好发送并胜利解析。SCO部署Syslog配置vi/etc/syslog.conf，在文件最终面增加以下三行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存退出注：<SSIMSyslo