Logs de auditoría de Linux

Supported OS Linux

Versión de la integración1.0.0
Logs de auditoría de Linux - Información general
Logs de auditoría de Linux - Información general
Logs de auditoría de Linux - Información general
Logs de auditoría de Linux - Información general

Información general

Los logs de auditoría de Linux registran información detallada sobre eventos del sistema, actividades de usuarios y acciones relacionadas con la seguridad. Son esenciales para controlar la integridad del sistema, detectar accesos no autorizados y garantizar el cumplimiento de las políticas y normativas de seguridad.

Esta integración proporciona un enriquecimiento y una visualización de varios tipos de logs, incluidos:

  • Configuraciones y estado del Control de acceso obligatorio (MAC)
  • Políticas de MAC
  • Roles: asignación, supresión y cambio de roles de usuarios
  • Auditorías: cambios de configuración y eventos daemon de auditoría (como cancelaciones o cambios de configuración)
  • Autenticación de usuarios: eventos de autenticación de usuarios
  • Cuentas de usuario: modificaciones de credenciales de cuentas de usuarios
  • Usuarios y grupos: activades de gestión de usuarios y grupos
  • Usuarios de SELinux: errores de usuarios de SELinux
  • Access Vector Cache (AVC): logs de Access Vector Cache (AVC)

Es compatible con estos logs en los sistemas operativos Red Hat, Ubuntu y CentOS de Linux.

Esta integración recopila logs de auditoría de Linux y los envía a Datadog para su análisis. Proporciona información visual a través de los dashboards y el Explorador de logs predefinidos, y ayuda a monitorizar y a responder a las amenazas de seguridad mediante reglas de detección de Cloud SIEM listas para usar.

Configuración

Instalación

Para instalar la integración de logs de auditoriía de Linux, ejecuta el siguiente comando de instalación del Agent. Para obtener más información, consulta Gestión de integraciones.

Nota: Este paso no es necesario para versiones >= 7.66.0. del Agent.

Para Linux, ejecuta:

sudo -u dd-agent -- datadog-agent integration install datadog-linux-audit-logs==1.0.0

Configuración

Instalar el daemon de auditoría (auditd)

  1. Instala auditd en Linux:

    • Debian/Ubuntu:

      sudo apt-get update
sudo apt-get install auditd

    • CentOS/RHEL:

      sudo yum install audit

  2. Inicia el daemon de auditoría:

    sudo systemctl start auditd

  3. Activa el daemon de auditoría para que se inicie durante el arranque:

    sudo systemctl enable auditd

  4. Comprueba el estado del daemon de auditoría:

    sudo systemctl status auditd

Configurar el daemon de auditoría (auditd)

  1. Concede al usuario dd-agent permiso de lectura de los archivos de los de auditoría rotados:

    sudo grep -q "^log_group=" /etc/audit/auditd.conf && sudo sed -i 's/^log_group=.*/log_group=dd-agent/' /etc/audit/auditd.conf || echo "log_group=dd-agent" | sudo tee -a /etc/audit/auditd.conf

  2. Reinicia el daemon de auditoría:

    sudo systemctl restart auditd

Validación

Ejecuta el subcomando de estado del Agent y busca linux_audit_logs en la sección Checks.

Datos recopilados

Métricas

La integración de logs de auditoría de Linux no incluye métricas.

Recopilación de logs

  1. La recopilación de logs está desactivada por defecto en el Datadog Agent. Actívala en el archivo datadog.yaml:

    logs_enabled: true

  2. Concede al usuario dd-agent acceso de lectura al archivo audit.log:

    sudo chown -R dd-agent:dd-agent /var/log/audit/audit.log

  3. Añade este bloque de configuración a tu archivo linux_audit_logs.d/conf.yaml para empezar a recopilar logs de auditoría de Linux:

    Consulta el ejemplo linux_audit_logs.d/conf.yaml para conocer las opciones de configuración disponibles.

    logs:
  - type: file
    path: /var/log/audit/audit.log
    service: linux-audit-logs
    source: linux-audit-logs

    Nota: No modifiques los valores service y source, ya que son esenciales para el correcto procesamiento de pipelines de logs.

  4. Reinicia el Agent.

Eventos

La integración de logs de auditoría de Linux no incluye eventos.

Solucionar problemas

¿Necesitas ayuda? Ponte en contacto con el servicio de asistencia de Datadog.