各Unix平台日志审计的配置方法和步骤

各U n i x平台日志审计的配置方法和步骤

1安装部署方法和步骤 (2)

1.1日志采集 (2)

1.2Aix 6.1部署 (2)

1.3Aix 5.3部署 (3)

1.4Aix 5.2部署 (4)

1.5Aix 4.3部署 (5)

1.6Solaris 10部署 (6)

1.7Solaris 9部署 (7)

1.8Solaris 8部署 (8)

1.9HPUX 11.23部署 (9)

1.10HPUX 11.31部署 (10)

1.11HPUX 11.11部署 (11)

1.12suse 11部署 (13)

1.13suse 10部署 (14)

1.14suse 9部署 (15)

1.15SCO 5.0.6部署 (16)

2/etc/syslog.conf中SSIM Syslog接收地址的确定 (18)

3预制脚本的下载和执行 (19)

3.1预制脚本的下载 (19)

3.2AIX平台自动配置脚本的执行 (19)

4各Unix平台需要使用的脚本汇总 (20)

1安装部署方法和步骤

1.1日志采集

1.1.1采集内容

根据日志审计的要求，我们重点关注用户的登录、登出行为和系统守护程序的运行状态。基于此，我们主要采集Unix系统的一下syslog日志：

?https://www.360docs.net/doc/232610056.html,—用户认证、授权日志，包括用户登录、登出、切换等

?https://www.360docs.net/doc/232610056.html,—用户认证、授权日志，包括用户登录、登出、切换等，和auth功能类似，

不同系统有所不同。

?https://www.360docs.net/doc/232610056.html,—系统守护进程日志，比如ftp等

?用户登录成功和失败的日志。

1.1.2采集方式

?对于Unix系统自带的syslog日志，通过修改系统的syslog发送配置选项，由自身的syslog

进程，将日志发送到SSIM日志采集机

?对于登录成功、失败日志，有些操作系统syslog不产生该类日志，通过定期执行脚本，读

取登录日志文件，并发送到syslog进程，由其统一转发到SSIM日志采集机。

1.2Aix 6.1部署

1.2.1Syslog配置

1．执行chssys -s syslogd -a " " （由于做过安全加固，导致syslog发送不出来，需要通

过该命令修改）

2．修改/etc/syslog.conf文件，在最后增加以下内容：

https://www.360docs.net/doc/232610056.html,＜tab＞@

保存配置

注：，根据服务器和SSIM采集机所处的网段进行调整

3．重启syslogd

stopsrc -s syslogd

startsrc -s syslogd

1.2.2Telnet成功登录采集脚本部署

1．增加采集日志脚本

增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh：

wtmp.sh.txt

修改wtmp.sh文件属性，增加可执行权限：

chmod +x wtmp.sh

2．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh >/dev/null 2>&1

1.2.3部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.3Aix 5.3部署

1.3.1Syslog配置

1．执行chssys -s syslogd -a " " （由于做过安全加固，导致syslog发送不出来，需要通过该命令修改）

2．修改/etc/syslog.conf文件，在最后增加以下内容：

https://www.360docs.net/doc/232610056.html,＜tab＞@

保存配置

注：，根据服务器和SSIM采集机所处的网段进行调整

3．重启syslogd

stopsrc -s syslogd

startsrc -s syslogd

1.3.2Telnet成功登录采集脚本部署

1．增加采集日志脚本

增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh：

wtmp.sh.txt

修改wtmp.sh文件属性，增加可执行权限：

chmod +x wtmp.sh

2．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh >/dev/null 2>&1

1.3.3部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.4Aix 5.2部署

1.4.1Syslog配置

1．执行chssys -s syslogd -a " " （由于做过安全加固，导致syslog发送不出来，需要通过该命令修改）

2．修改/etc/syslog.conf文件，在最后增加以下内容：

https://www.360docs.net/doc/232610056.html,＜tab＞@

保存配置

注：，根据服务器和SSIM采集机所处的网段进行调整

3．重启syslogd

stopsrc -s syslogd

startsrc -s syslogd

1.4.2Telnet成功登录采集脚本部署

1．增加采集日志脚本

增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh：

wtmp.sh.txt

修改wtmp.sh文件属性，增加可执行权限：

chmod +x wtmp.sh

2．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh >/dev/null 2>&1

1.4.3部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.5Aix 4.3部署

1.5.1Syslog配置

4．执行chssys -s syslogd -a " " （由于做过安全加固，导致syslog发送不出来，需要通过该命令修改）

5．修改/etc/syslog.conf文件，在最后增加以下内容：

https://www.360docs.net/doc/232610056.html,＜tab＞@

保存配置

注：，根据服务器和SSIM采集机所处的网段进行调整

6．重启syslogd

stopsrc -s syslogd

startsrc -s syslogd

1.5.2Telnet成功登录采集脚本部署

3．增加采集日志脚本

增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh：

wtmp.sh.txt

修改wtmp.sh文件属性，增加可执行权限：

chmod +x wtmp.sh

4．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh >/dev/null 2>&1

1.5.3部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.6Solaris 10部署

1.6.1Syslog配置

1．修改系统login参数

vi /etc/default/login

取消SYSLOG和SYSLOG_FAILED_LOGINS的注释，并设置相应的参数：

SYSLOG=YES

SYSLOG_FAILED_LOGINS=0

2．vi /etc/syslog.conf，在文件最后面增加以下两行：

https://www.360docs.net/doc/232610056.html,@

保存配置

注：，根据服务器和SSIM采集机所处的网段进行调整

3．重启一下syslogd:

svcadm restart /system/system-log

1.6.2部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.7Solaris 9部署

1.7.1Syslog配置

1．修改系统login参数

vi /etc/default/login

取消SYSLOG和SYSLOG_FAILED_LOGINS的注释，并设置相应的参数：

SYSLOG=YES

SYSLOG_FAILED_LOGINS=0

2．vi /etc/syslog.conf，在文件最后面增加以下两行：

https://www.360docs.net/doc/232610056.html,@

保存配置

注：，根据服务器和SSIM采集机所处的网段进行调整

3．重启一下syslogd:

/etc/init.d/syslog stop

/etc/init.d/syslog start

1.7.2部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.8Solaris 8部署

1.8.1Syslog配置

1．修改系统login参数

vi /etc/default/login

取消SYSLOG和SYSLOG_FAILED_LOGINS的注释，并设置相应的参数：

SYSLOG=YES

SYSLOG_FAILED_LOGINS=0

2．vi /etc/syslog.conf，在文件最后面增加以下两行：

https://www.360docs.net/doc/232610056.html,@

保存配置

注：，根据服务器和SSIM采集机所处的网段进行调整

3．重启一下syslogd:

/etc/init.d/syslog stop

/etc/init.d/syslog start

1.8.2部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.9HPUX 11.23部署

1.9.1Syslog配置

1.vi /etc/syslog.conf，在文件最后面增加以下两行：

https://www.360docs.net/doc/232610056.html,@

保存退出

注：，根据服务器和SSIM采集机所处的网段进行调整

2.重启一下syslogd:

#/sbin/init.d/syslogd stop

#/sbin/init.d/syslogd start

1.9.2Telnet成功登录采集脚本部署

1．增加采集日志脚本

增加采集脚本wtmps.sh到/var/adm目录下，wtmps.sh脚本内容请参考文件wtmps.sh: wtmps.sh.txt

修改wtmps.sh文件属性，增加可执行权限：

chmod +x wtmps.sh

2．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmps.sh >/dev/null 2>&1

1.9.3Telnet失败登录采集脚本部署

1．增加采集日志脚本

增加采集脚本btmps.sh到/var/adm目录下，btmps.sh脚本内容请参考文件btmps.sh: btmps.sh.txt

修改btmps.sh文件属性，增加可执行权限：

chmod +x btmps.sh

2．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/btmps.sh >/dev/null 2>&1

1.9.4部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.10HPUX 11.31部署

1.10.1Syslog配置

1.vi /etc/syslog.conf，在文件最后面增加以下两行：

https://www.360docs.net/doc/232610056.html,@

保存退出

注：，根据服务器和SSIM采集机所处的网段进行调整

2.重启一下syslogd:

#/sbin/init.d/syslogd stop

#/sbin/init.d/syslogd start

1.10.2Telnet成功登录采集脚本部署

1．增加采集日志脚本

增加采集脚本wtmps.sh到/var/adm目录下，wtmps.sh脚本内容请参考文件wtmps.sh:

wtmps.sh.txt

修改wtmps.sh文件属性，增加可执行权限：

chmod +x wtmps.sh

2．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmps.sh >/dev/null 2>&1

1.10.3Telnet失败登录采集脚本部署

1．增加采集日志脚本

增加采集脚本btmps.sh到/var/adm目录下，btmps.sh脚本内容请参考文件btmps.sh:

btmps.sh.txt

修改btmps.sh文件属性，增加可执行权限：

chmod +x btmps.sh

2．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/btmps.sh >/dev/null 2>&1

1.10.4部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.11HPUX 11.11部署

1.11.1Syslog配置

1.vi /etc/syslog.conf，在文件最后面增加以下两行：

https://www.360docs.net/doc/232610056.html,@

保存退出

注：，根据服务器和SSIM采集机所处的网段进行调整

2.重启一下syslogd:

#/sbin/init.d/syslogd stop

#/sbin/init.d/syslogd start

1.11.2Telnet成功登录采集脚本部署

1．增加采集日志脚本

增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh:

wtmp.sh.txt

修改wtmp.sh文件属性，增加可执行权限：

chmod +x wtmp.sh

2．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh >/dev/null 2>&1

1.11.3Telnet失败登录采集脚本部署

1．增加采集日志脚本

增加采集脚本btmp.sh到/var/adm目录下，btmp.sh脚本内容请参考文件btmp.sh:

btmp.sh.txt

修改btmp.sh文件属性，增加可执行权限：

chmod +x btmp.sh

2．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/btmp.sh >/dev/null 2>&1

1.11.4部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.12suse 11部署

1.1

2.1Syslog配置

1．vi /etc/syslog-ng/syslog-ng.conf.in 在最后面增加：

destination ssimloghost {

udp("" port(514));

};

filter auth_daemon{ facility(auth, authpriv, daemon); };

log {

source(src);

filter(auth_daemon);

destination(ssimloghost);

};

保存退出

注：，根据服务器和SSIM采集机所处的网段进行调整2．重启syslog-ng:

/etc/init.d/syslog start

1.1

2.2Telnet成功登录采集脚本部署

1．增加采集日志脚本

增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh: wtmp.sh.txt

修改wtmp.sh文件属性，增加可执行权限：

chmod +x wtmp.sh

2．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh >/dev/null 2>&1

1.1

2.3部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.13suse 10部署

1.13.1Syslog配置

3．vi /etc/syslog-ng/syslog-ng.conf.in 在最后面增加：

destination ssimloghost {

udp("" port(514));

};

filter auth_daemon{ facility(auth, authpriv, daemon); };

log {

source(src);

filter(auth_daemon);

destination(ssimloghost);

};

保存退出

注：，根据服务器和SSIM采集机所处的网段进行调整

4．执行命令

SuSEconfig --module syslog-ng

5．重启syslog-ng:

/etc/init.d/syslog start

1.13.2Telnet成功登录采集脚本部署

3．增加采集日志脚本

增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh:

wtmp.sh.txt

修改wtmp.sh文件属性，增加可执行权限：

chmod +x wtmp.sh

4．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh >/dev/null 2>&1

1.13.3部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.14suse 9部署

1.14.1Syslog配置

1．vi /etc/syslog.conf，在文件最后面增加以下三行：

https://www.360docs.net/doc/232610056.html,@

保存退出

注：，根据服务器和SSIM采集机所处的网段进行调整

2．重启一下syslogd:

/sbin/rcsyslog restart

1.14.2Telnet成功登录采集脚本部署

1．增加采集日志脚本

增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh:

wtmp.sh.txt

修改wtmp.sh文件属性，增加可执行权限：

chmod +x wtmp.sh

2．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh >/dev/null 2>&1

1.14.3部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

1.15SCO 5.0.6部署

1.15.1Syslog配置

1.vi /etc/syslog.conf，在文件最后面增加以下三行：

https://www.360docs.net/doc/232610056.html,@

保存退出

注：，根据服务器和SSIM采集机所处的网段进行调整

2.重启一下syslogd:

kill -HUP `cat /etc/syslog.pid`

1.15.2Telnet成功登录采集脚本部署

1．增加采集日志脚本

增加采集脚本wtmpx.sh到/var/adm目录下，wtmpx.sh脚本内容请参考文件wtmpx.sh:

wtmpx.sh.txt

修改wtmpx.sh文件属性，增加可执行权限：

chmod +x wtmpx.sh

2．增加crontab执行任务

以root用户登录系统，执行crontab –e增加以下crontab任务,每5分钟执行一次：

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmpx.sh >/dev/null 2>&1

1.15.3部署结果测试

在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。

2/e t c/s y s l o g.c o n f中S S I M S y s l o g接收地址的确定

由于安全日志审计项目组在不同的网段都设置了相应的SSIM agent服务器，负责接收syslogd 发送的信息，因此需要在实施日志审计配置时根据生产系统所处的不同网段确定对应的SSIM agent服务器地址。以下为对应规则：

3预制脚本的下载和执行

3.1预制脚本的下载

目前已知各类操作系统的脚本已上传至OnCourse服务器，可以直接下载使用。请特别注意：脚本下载至本地后，请chmod添加执行权限。

host：182.241.15.101

user：softinst

password：111111

path：/software/priv/audit

3.2AIX平台自动配置脚本的执行

脚本在Oncourse服务器存放的位置为/software/priv/audit/autoconfig_aix 。

目前，支持AIX 5.2、AIX 5.3、AIX 6.1的自动配置。AIX 4.3.3 需要手工配置。

自动配置方法：

1.从Oncourse上的/software/priv/audit/autoconfig_aix 路径下载

syslog_autoconf.ksh 和wtmp.sh 到本地的/tmp下。

2.chmod +x syslog_autoconf.ksh

3../syslog_autoconf.ksh

4各U n i x平台需要使用的脚本汇总