Graylog 是收集 log 的工具,可以將 Windows, Linux log 傳到同一台(組) Graylog。
安裝:
Installing Graylog
可以直接下載 VM ova image,匯入後改為固定 IP address 即可。
edit /etc/netplan/01-netcfg.yaml
network:
version: 2
renderer: networkd
ethernets:
enp0s3:
dhcp4: yes
ens160:
addresses: [192.168.10.2/24]
gateway4: 192.168.10.254
nameservers:
search: [my.domain]
addresses: [192.168.10.1]
重開機或 執行 sudo netplan apply 讓 IP 生效。
修改時區
edit /etc/graylog/server/server.conf
root_timezone = Asia/Taipei
修改網頁密碼
執行 echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
把結果貼到 /etc/graylog/server/server.conf 的 root_password_sha2
重開機或 執行 sudo systemctl start graylog-server.service 後生效
2020年1月16日 星期四
2020年1月1日 星期三
Linux / Unix audit log
Linux audit log啟用方法:
1. 在 /etc/audit/audit.rules 加上 -w <目錄>
2. service auditd restart
3. log檔在 /var/log/audit/audit.log
測試CentOS 6.10有效。
Reference:
[Centos7] audit 服務
linux 的 audit 服務
Solaris audit log: (實測 Solaris 10)
1. 啟用:
# init 1 (進入single user mode)
#/etc/security/bsmconv (啟用audit,若要關閉 audit 指令為 bsmunconv)
# reboot (重開機生效)
2. 要修改的檔案
/etc/security/audit_control (要記錄哪些東西,預設只有 lo: login or logout)
/etc/security/audit_user (要記錄哪些 user,預設只有 root)
3. audit_control 的參數功能請參照
/etc/security/audit_class
4. 修改後下指令 audit -s 才會生效
Reference:
在solaris上布署审计功能
How to Enable the Audit Service
1. 在 /etc/audit/audit.rules 加上 -w <目錄>
2. service auditd restart
3. log檔在 /var/log/audit/audit.log
測試CentOS 6.10有效。
Reference:
[Centos7] audit 服務
linux 的 audit 服務
Solaris audit log: (實測 Solaris 10)
1. 啟用:
# init 1 (進入single user mode)
#/etc/security/bsmconv (啟用audit,若要關閉 audit 指令為 bsmunconv)
# reboot (重開機生效)
2. 要修改的檔案
/etc/security/audit_control (要記錄哪些東西,預設只有 lo: login or logout)
/etc/security/audit_user (要記錄哪些 user,預設只有 root)
3. audit_control 的參數功能請參照
/etc/security/audit_class
4. 修改後下指令 audit -s 才會生效
Reference:
在solaris上布署审计功能
How to Enable the Audit Service
訂閱:
文章 (Atom)