Previous

Next

Linux Audit Logs - 概要

Linux 監査ログ - 概要

Linux 監査ログ - 概要

Linux 監査ログ - 概要

概要

Linux Audit Logs は、システム イベント、ユーザー アクティビティ、セキュリティ関連のアクションに関する詳細情報を記録します。監査ログは、システムの完全性を監視し、不正アクセスを検出し、セキュリティ ポリシーと規制の遵守を保証するために不可欠です。

このインテグレーションは、次のようなさまざまなタイプのログを対象に、エンリッチメントと可視化の機能を提供します。

• 強制アクセス制御 (MAC) の構成とステータス
• MAC ポリシー
• ロールの割り当て、削除、およびユーザーのロールの変更
• 監査 の構成変更と監査デーモン イベント (中断、構成の変更など)
• ユーザー認証イベント
• ユーザー アカウント 資格情報の変更
• ユーザーとグループの管理に関するアクティビティ
• SELinux ユーザー エラー
• Access Vector Cache (AVC) ログ

このインテグレーションは、Red Hat、Ubuntu、CentOS Linux オペレーティング システムでこれらのログをサポートしています。

このインテグレーションは、Linux 監査ログを収集し、分析のために Datadog に送信します。すぐに使えるダッシュボードとログ エクスプローラーを通じて視覚的なインサイトを提供し、すぐに使える Cloud SIEM 検出ルールを使用してセキュリティ上の脅威の監視と対応を支援します。

• Log Explorer
• Cloud SIEM

セットアップ

インストール

Linux Audit Logs インテグレーションをインストールするには、次の Agent インストール コマンドを実行します。詳細は Integration Management を参照してください。

注: Agent バージョンが 7.66.0 以上の場合、この手順は不要です。

Linux の場合、以下を実行してください。

sudo -u dd-agent -- datadog-agent integration install datadog-linux-audit-logs==1.0.0

設定

監査デーモン (auditd) のインストール

1. Linux に auditd をインストールします。

   • Debian/Ubuntu:

     sudo apt-get update
     sudo apt-get install auditd
     

   • CentOS/RHEL:

     sudo yum install audit
     

2. 監査デーモンを起動します。

   sudo systemctl start auditd
   

3. 監査デーモンを有効化し、ブート時に起動するようにします。

   sudo systemctl enable auditd
   

4. 監査デーモンのステータスを確認します。

   sudo systemctl status auditd
   

監査デーモン (auditd) の構成

1. dd-agent ユーザーに、ローテーションされた監査ログ ファイルの読み取り権限を付与します。

   sudo grep -q "^log_group=" /etc/audit/auditd.conf && sudo sed -i 's/^log_group=.*/log_group=dd-agent/' /etc/audit/auditd.conf || echo "log_group=dd-agent" | sudo tee -a /etc/audit/auditd.conf
   

2. 監査デーモンを再起動します。

   sudo systemctl restart auditd
   

検証

Agent の status サブ コマンドを実行 し、Checks セクションで linux_audit_logs を探します。

収集データ

メトリクス

Linux Audit Logs インテグレーションには、メトリクスは含まれません。

ログ収集

1. Datadog Agent ではデフォルトでログ収集は無効になっています。datadog.yaml ファイルで有効化してください。

   logs_enabled: true
   

2. dd-agent ユーザーに audit.log ファイルへの読み取りアクセス権を付与します。

   sudo chown -R dd-agent:dd-agent /var/log/audit/audit.log
   

3. Linux 監査ログの収集を開始するには、次の構成ブロックを linux_audit_logs.d/conf.yaml ファイルに追加します。

   利用可能な設定オプションについては、サンプルの linux_audit_logs.d/conf.yaml を参照してください。

   logs:
     - type: file
       path: /var/log/audit/audit.log
       service: linux-audit-logs
       source: linux-audit-logs
   

   注: service と source の値は適切なログ パイプラインの処理に不可欠なため、変更しないでください。

4. Agent を再起動します。

イベント

Linux Audit Logs インテグレーションには、イベントは含まれません。

トラブルシューティング

ご不明な点は、Datadog のサポートチームまでお問い合わせください。