通过Syslog实现系统审计的完整方案

一、Syslog审计概述

Syslog是一种标准的日志记录协议，广泛用于收集和传输系统日志数据。通过Syslog实现系统审计可以帮助组织满足合规要求、监控系统活动并调查安全事件。

二、Syslog审计实施步骤

1. 配置系统日志服务

Linux系统配置

# 编辑rsyslog配置文件
sudo vi /etc/rsyslog.conf

# 启用远程日志记录(取消注释或添加)
module(load="imudp")
input(type="imudp" port="514")

module(load="imtcp")
input(type="imtcp" port="514")

# 重启rsyslog服务
sudo systemctl restart rsyslog

Windows系统配置

• 安装第三方syslog代理如NxLog、Snare或Kiwi Syslog
• 配置将Windows事件日志转发到syslog服务器

2. 配置日志收集服务器

# 在中央日志服务器上配置rsyslog
sudo vi /etc/rsyslog.conf

# 添加以下内容
$template RemoteLogs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?RemoteLogs
& ~

# 创建日志目录
sudo mkdir /var/log/hosts
sudo chmod -R 755 /var/log/hosts

# 重启服务
sudo systemctl restart rsyslog

3. 审计相关日志配置

关键审计日志源

• 认证日志(/var/log/auth.log)
• 系统日志(/var/log/syslog)
• 安全日志(/var/log/secure)
• 内核日志(/var/log/kern.log)
• 应用特定日志

增强审计配置

# 配置sudo命令审计
sudo visudo
# 添加以下行
Defaults logfile="/var/log/sudo.log"
Defaults log_input, log_output

4. 日志过滤与分类

# 在rsyslog中创建过滤规则
:fromhost-ip, isequal, "192.168.1.100" /var/log/web-server.log
:msg, contains, "authentication failure" /var/log/auth-failures.log

三、高级审计功能实现

1. 日志加密传输

# 配置TLS加密
sudo vi /etc/rsyslog.conf

# 添加以下内容
module(load="gtls")
input(type="imtcp" port="6514" ruleset="remote"
      StreamDriver.Name="gtls"
      StreamDriver.Mode="1"
      StreamDriver.AuthMode="x509/name"
      PermittedPeer=["audit.example.com"]
      StreamDriver.PermitExpiredCerts="off")

2. 日志轮转配置

# 配置logrotate
sudo vi /etc/logrotate.d/audit

# 添加以下内容
/var/log/hosts/*.log {
    daily
    missingok
    rotate 30
    compress
    delaycompress
    notifempty
    create 640 root adm
    sharedscripts
    postrotate
        /usr/lib/rsyslog/rsyslog-rotate
    endscript
}

3. 日志分析与告警

使用工具如ELK Stack(Elasticsearch, Logstash, Kibana)或Graylog进行日志分析：

# Logstash配置示例
input {
  syslog {
    port => 514
    type => "syslog"
  }
}

filter {
  if [type] == "syslog" {
    grok {
      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
    }
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
    index => "syslog-%{+YYYY.MM.dd}"
  }
}

四、合规性考虑

1. PCI DSS：确保日志包含用户访问、特权操作和关键事件
2. HIPAA：记录电子健康记录的访问和修改
3. SOX：记录财务系统的访问和变更
4. GDPR：记录个人数据的访问和处理

五、最佳实践

1. 集中存储所有系统日志
2. 实施日志完整性保护(如使用hash链)
3. 设置适当的日志保留策略(通常6-12个月)
4. 定期审查日志分析规则和告警阈值
5. 限制对日志的访问权限
6. 监控日志收集系统的健康状况

六、常见问题排查

1. 日志未传输：

   • 检查防火墙设置
   • 验证rsyslog服务状态
   • 检查网络连接

2. 日志格式混乱：

   • 统一各设备的日志格式
   • 使用RFC5424格式

3. 性能问题：

   • 考虑使用日志缓冲
   • 评估是否需要日志采样

通过以上配置，您可以建立一个完整的基于Syslog的系统审计解决方案，满足安全监控和合规要求。