我的公司正在接受审计,我已经非正式地接管了 Linux 系统管理员的角色。我发现我们当前的日志系统基本上保留了一个月的日志,这些日志会轮换,而前几个月的日志会被删除。我需要为以下内容保留一年的日志,
- 记录活动以跟踪登录及其运行的命令
- 记录对我们的生产 Linux 系统的任何更改。例如版本/内核更改。任何会直接改变 Linux 或添加功能的更改。
现在我们有
/var/log/messages和 的基本日志记录/var/log/secure。我看到我们有一些审核日志,这些日志也仅每月保存一次。我没有看到安装任何特殊的软件包来执行 CentOS 中默认设置之外的任何类型的日志记录。
如果有人可以帮助确定哪些日志可以捕获上述信息,或者是否需要安装特殊的软件包来执行此操作,那就太好了。此外,由于日志文件可能会变得很大,因此从 Linux 本身外部存储日志的最佳方式是什么?
答案1
最实用的方法可能是使用第三方应用程序,例如奥普斯马蒂克,尽管我承认不熟悉 SOX 合规性与 SaaS 服务的具体细节。我已经使用过这个,尽管他们经历了一些成长的烦恼,但他们的产品对于您正在谈论的监控类型非常有用。
(另外,主动提出的建议:当然,这些日志的目的是保存记录,但是像 Opsmatic 这样的工具也将有助于发出警报。无论您是否是官方系统管理员,如果有人进入托管财务数据的服务器并启动四处嗅探,你可能就是那个被指责的人。)