Linux Linux sunucular üzerinde audit loglarını Logsign yada farklı bir siem yada loglama cihazına sftp ile alabilmek için öncelikle sunucu üzerinde audit servisi yüklü değilse audit servisinin indirilmesi gerekmektedir.
İndirme işlemi gerçekleştikten sonra audit servisinin çalışıp çalışmadığını kontrol ediyoruz.
Servis düzgün bir şekilde çalışıyor ise cd/var/log/audit altında audit.log dosyasına logları yazmaya başlamıştır. Onun kontrolününde şu şekilde yapabilirsiniz tail -f audit.log şeklinde çıkmak içinde ctrl + C ile çıkabilir siniz.
- Audit servis üzerinde policy şeklinde auditler yazarak dahada zenginleştirebiliriz
sftp ile eklemeden önde güvenlik için sunucu üzerinde sıradan bir kullanıcı oluşturarak audit loglarını okuyabilmesi için gerekli yetkilendirmelerin yapılması gerekmektedir.
Verilen yetkilerden emin oluduktan sonra ekleme işlemine geçebilirsiniz.
Logsign üzerinde settings>Device List>Add New Device
