各Unix平台日志审计的配置方法和步骤.doc

PAGE PAGE 20 / NUMPAGES 20 各Unix平台日志审计的配置方法和步骤 TOC \o 1-2 \h \z \u 1 安装部署方法和步骤 2 1.1 日志采集 2 1.2 Aix 6.1部署 2 1.3 Aix 5.3部署 3 1.4 Aix 5.2部署 4 1.5 Aix 4.3部署 5 1.6 Solaris 10部署 6 1.7 Solaris 9部署 7 1.8 Solaris 8部署 8 1.9 HPUX 11.23部署 9 1.10 HPUX 11.31部署 10 1.11 HPUX 11.11部署 11 1.12 suse 11部署 13 1.13 suse 10部署 14 1.14 suse 9部署 15 1.15 SCO 5.0.6部署 16 2 /etc/syslog.conf中SSIM Syslog接收地址的确定 18 3 预制脚本的下载和执行 19 3.1 预制脚本的下载 19 3.2 AIX平台自动配置脚本的执行 19 4 各Unix平台需要使用的脚本汇总 20 安装部署方法和步骤 日志采集 采集内容 根据日志审计的要求，我们重点关注用户的登录、登出行为和系统守护程序的运行状态。基于此，我们主要采集Unix系统的一下syslog日志： —用户认证、授权日志，包括用户登录、登出、切换等 —用户认证、授权日志，包括用户登录、登出、切换等，和auth功能类似，不同系统有所不同。 —系统守护进程日志，比如ftp等 用户登录成功和失败的日志。 采集方式 对于Unix系统自带的syslog日志，通过修改系统的syslog发送配置选项，由自身的syslog进程，将日志发送到SSIM日志采集机 对于登录成功、失败日志，有些操作系统syslog不产生该类日志，通过定期执行脚本，读取登录日志文件，并发送到syslog进程，由其统一转发到SSIM日志采集机。 Aix 6.1部署 Syslog配置 执行chssys -s syslogd -a （由于做过安全加固，导致syslog发送不出来，需要通过该命令修改） 修改/etc/syslog.conf文件，在最后增加以下内容： ＜tab＞@SSIM Syslog接收地址 ＜tab＞@SSIM Syslog接收地址 ＜tab＞@SSIM Syslog接收地址 保存配置 注：SSIM Syslog接收地址，根据服务器和SSIM采集机所处的网段进行调整 重启syslogd stopsrc -s syslogd startsrc -s syslogd Telnet成功登录采集脚本部署 增加采集日志脚本 增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh： 修改wtmp.sh文件属性，增加可执行权限： chmod +x wtmp.sh 增加crontab执行任务 以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次： 0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh /dev/null 21 部署结果测试 在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。 Aix 5.3部署 Syslog配置 执行chssys -s syslogd -a （由于做过安全加固，导致syslog发送不出来，需要通过该命令修改） 修改/etc/syslog.conf文件，在最后增加以下内容： ＜tab＞@SSIM Syslog接收地址 ＜tab＞@SSIM Syslog接收地址 ＜tab＞@SSIM Syslog接收地址 保存配置 注：SSIM Syslog接收地址，根据服务器和SSIM采集机所处的网段进行调整 重启syslogd stopsrc -s syslogd startsrc -s syslogd Telnet成功登录采集脚本部署 增加采集日志脚本 增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh： 修改wtmp.sh文件属性，增加可执行权限： chmod +x wtmp.sh 增加crontab执行任务 以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次： 0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh /dev/null 21 部署结果测试 在主机