HPUX 11i v3 審計系統日誌伺服器 - 配置

我在我們的 HPUX 系統上設置審核並將其作為多行日誌發送到 SIEM 解決方案時遇到了麻煩。問題是 audsys 將日誌寫入二進製文件，我需要將其設置為 audisp 將其轉換為文本文件並定期將其發送到我們的 syslog 伺服器。

我設置 /etc/rc.config.d/auditing 文件如下

AUDITING=1
PRI_AUDFILE=/var/.audit/audfile1
PRI_SWITCH=10000
SEC_AUDFILE=/var/.audit/audfile2
SEC_SWITCH=10000
AUDEVENT_ARGS1=" -P -F -r Remotesyslog"
AUDEVENT_ARGS2=""
AUDEVENT_ARGS3=""
AUDEVENT_ARGS4=""
AUDOMON_ARGS=" -p 20 -t 1 -w 90"

然後我在 /etc/audit/audit_site.conf 中創建了一個自定義配置文件

#Custom Auditing File
# Audit self auditing admin commands, logins and execve calls
PROFILE Remotesyslog= SELFAUD_EVENT admin, EVENT login, execve, execv

我在 /var/.audit 中創建了以下內容

1) A folder "remotelogs"
2) A script "remotelogs.sh"

腳本文件的內容如下

NOW=$(/usr/bin/date +"%Y%m%d%H%M")

if /usr/bin/audsys | grep -q audfile1; then
 /usr/bin/audsys -c /var/.audit/audfile2 -s 100000
 /usr/bin/audisp /var/.audit/audfile1 > /var/.audit/remotelogs/remotelogs.log.${NOW}
 sleep 5
 /usr/contrib/bin/gzip /var/.audit/remotelogs/remotelogs.log.${NOW}
 rm -r /var/.audit/audfile1
else
 /usr/bin/audsys -c /var/.audit/audfile1 -s 100000
 /usr/bin/audisp /var/.audit/audfile2 > /var/.audit/remotelogs/remotelogs.log.${NOW}
 sleep 5
 /usr/contrib/bin/gzip /var/.audit/remotelogs/remotelogs.log.${NOW}
 rm -r /var/.audit/audfile2
fi

基本上，腳本所做的是檢查哪個是目前審計跟踪，然後切換到下一個審計跟踪，將目前審計跟踪的內容轉儲到附加時間戳的文本文件中。它會等待 5 秒，以便有時間轉儲內容，然後壓縮文本文件，然後刪除目前審計跟踪的內容。

為了定期（每 3 分鐘）執行一次，我在 crontab 中為它安排了一個 cronjob，如下所示

3,6,9,12,15,18,21,24,27,30,33,36,39,42,45,48,51,54,57,59 * * * * /var/.audit/remotelogs.sh

我還添加了另一個 cronjob 來刪除超過 3 天的日誌，如下所示

00 00 * * * find /var/.audit/remotelogs/* -mtime +3 | xargs rm

引用自：https://unix.stackexchange.com/questions/332703