Graylog 安裝及設定

Graylog 是收集 log 的工具，可以將 Windows, Linux log 傳到同一台(組) Graylog。

安裝：
Installing Graylog

可以直接下載 VM ova image，匯入後改為固定 IP address 即可。

edit /etc/netplan/01-netcfg.yaml
network:
  version: 2
  renderer: networkd
  ethernets:
    enp0s3:
      dhcp4: yes
    ens160:
            addresses: [192.168.10.2/24]
            gateway4: 192.168.10.254
            nameservers:
                    search: [my.domain]
                    addresses: [192.168.10.1]

重開機或 執行 sudo netplan apply 讓 IP 生效。

修改時區
edit /etc/graylog/server/server.conf
root_timezone = Asia/Taipei

修改網頁密碼
執行 echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
把結果貼到 /etc/graylog/server/server.conf 的 root_password_sha2

重開機或 執行 sudo systemctl start graylog-server.service 後生效

Linux / Unix audit log

Linux audit log啟用方法：
1. 在 /etc/audit/audit.rules 加上 -w <目錄>
2. service auditd restart
3. log檔在 /var/log/audit/audit.log

測試CentOS 6.10有效。

Reference:
[Centos7] audit 服務
linux 的 audit 服務


Solaris audit log: (實測 Solaris 10)
1. 啟用：
# init 1            (進入single user mode)
#/etc/security/bsmconv        (啟用audit，若要關閉 audit 指令為 bsmunconv)
# reboot            (重開機生效)

2. 要修改的檔案
/etc/security/audit_control      (要記錄哪些東西，預設只有 lo: login or logout)
/etc/security/audit_user      (要記錄哪些 user，預設只有 root)

3. audit_control 的參數功能請參照
/etc/security/audit_class

4. 修改後下指令 audit -s 才會生效

Reference:
在solaris上布署审计功能
How to Enable the Audit Service