我正在尝试使用 ArcSight 查看 Windows 和 Linux 日志以查找安全问题。日志已经在 ArcSight 中,因此我只需编写一些简单的 ArcSight 查询即可提取所需的信息。对于 Windows,我只需搜索事件 ID 即可找到我想要的内容,例如 4624 表示成功登录,4625 表示登录失败。但是,我完全不了解的 Unix 显然没有类似事件 ID 的东西。如果我搜索“登录”,至少会得到一些看起来像系统正在记录登录的结果。如果我搜索“注销”或“注销”,则什么也找不到。除了进行文本搜索直到找到似乎是您想要的内容之外,还有其他方法可以轻松找到 Unix 中特定事件的记录吗?至少有一份 Redhat Linux 主要日志消息的文档吗?
答案1
您可以查找带有typeofUSER_LOGIN和USER_LOGOUTin 的/var/log/audit/audit.log远程登录事件,例如使用 ssh。
使用和其他用户/角色更改将使用和和sudo进行记录。另请参阅身份验证尝试。typeUSER_STARTLOGINUSER_ENDUSER_AUTH
oftype还LOGIN记录本地 GUI 控制台登录,但据我所知,控制台注销未记录在审计日志中。它仍然可以在常见的地方找到,例如last。
审计日志中记录了许多其他类型的数据。您应该仔细查看它,看看是否还有其他您感兴趣的项目。
在尝试使用 ArcSight 之前,您应该花一点时间熟悉系统日志及其包含的信息类型。
在 Red Hat 系统上,最常使用的日志是:
/var/log/messages包含常规系统、服务和应用程序日志。这些日志由内核或应用程序本身生成。/var/log/secure包含主要与身份验证和授权相关的日志。这些日志也是由内核或应用程序本身生成的。/var/log/audit/audit.log包含各种系统活动的详细安全审计事件。所有这些都是由 Linux 内核生成的。
systemd 日志还包含所有这些数据,甚至更多。ArcSight 似乎不支持该日志(或者我找不到它),但它支持审计日志。这必须与 syslog 连接器分开配置。要获取最详细的信息,您应该使用支持直接从日志导入的日志分析器,并且确实正在这样做。