在Arcsight中查看Linux日志

Question

我试图使用ArcSight检查Windows和Linux的安全性问题。日志已经在ArcSight中了，所以我只是写一些简单的ArcSight查询，以获取所需的信息。对于Windows，我只需在事件I上搜索我想要的内容，比如4624表示成功登录，或4625搜索不成功的登录。然而，我不知道的Unix显然没有任何类似事件ID的东西。如果我在“登录”上搜索，我至少会得到一些点击，看上去就像是系统正在记录登录。如果我搜索“注销”或“注销”，我什么也得不到。除了进行文本搜索之外，是否还可以轻松地在Unix中查找特定事件的记录，直到找到您想要的东西？是否至少有红帽linux的主日志消息的文档？

Answer 1

您可以使用type of USER_LOGIN和/var/log/audit/audit.log中的USER_LOGOUT查找远程登录的事件，例如使用ssh。

使用sudo和其他用户/角色更改将使用type of USER_START和LOGIN以及USER_END记录。有关身份验证尝试，请参见USER_AUTH。

type of LOGIN还记录本地GUI控制台登录，但据我所见，控制台注销没有记录在审计日志中。它仍然可以在通常的地方使用，例如last。

审计日志中记录了许多其他类型的数据。你应该仔细看一看，看看是否还有你感兴趣的东西。

在尝试使用ArcSight之前，您应该花一点时间熟悉系统日志及其包含的信息。

在Red系统上，最常用的日志是：

• /var/log/messages包含通用系统、服务和应用程序日志。这些都是由内核或应用程序本身生成的。
• /var/log/secure包含主要与身份验证和授权相关的日志。这些也是由内核或应用程序本身生成的。
• /var/log/audit/audit.log包含各种系统活动的详细安全审核事件。所有这些都是由Linux内核生成的。

systemd日志还包含所有这些数据，以及更多。ArcSight似乎不支持该杂志(或者我无法发现)，但它支持支持审计日志吗？。这必须与syslog连接器分开配置。要获得最详细的信息，您应该使用日志分析器，它支持直接从日志导入，并且实际上正在这样做。