https://klifehack.com/tags/rsyslog/Recent content in Rsyslog on K-Life Hack | 韓国ハイエンド・ライフスタイルガイドHugo -- gohugo.iojaSun, 24 May 2026 10:21:24 +0900https://klifehack.com/p/linux-process-audit-rsyslog-implementation/Sun, 24 May 2026 10:21:24 +0900https://klifehack.com/p/linux-process-audit-rsyslog-implementation/<h1 id="linuxシステムにおける監査ログ管理基盤の構築auditdとrsyslogによるセキュアなシステムコール監視と外部転送">Linuxシステムにおける監査ログ管理基盤の構築：auditdとrsyslogによるセキュアなシステムコール監視と外部転送 </h1><h2 id="1-監査およびログ管理における課題と背景">1. 監査およびログ管理における課題と背景 </h2><p>Linuxシステムにおいて、プロセスの実行状態やシステムコールの監視はセキュリティ確保の基本です。しかし、標準的なアプリケーションレベルのログ出力（syslogなど）のみに依存する場合、いくつかの深刻な課題が生じます。</p> <p>⚠️ <b>ログの改ざんリスク:</b> 攻撃者がroot権限を奪取した場合、ローカルに保存されたプレーンテキストのログファイル（/var/log/auth.logなど）は容易に消去または改ざんされます。</p> <p>⚠️ <b>システムコールレベルの可視性不足:</b> 標準のsyslogはアプリケーションが自己申告的に出力するログに依存するため、不正なバイナリが直接実行するシステムコール（ファイル書き換え、権限昇格など）を強制的に捕捉することができません。</p> <p>これらの課題に対処するため、カーネルレベルでシステムコールをインターセプトするauditdと、信頼性の高いTCP接続でログを外部転送するrsyslogを組み合わせた監査基盤の実装手順を定義します。</p> <h2 id="2-技術選定とトレードオフ">2. 技術選定とトレードオフ </h2><p>システム監査およびログ管理の設計において、以下のトレードオフを考慮しました。</p> <p><b>syslog と auditd の比較:</b> syslogはアプリケーション層のイベント記録に適していますが、プロセスの挙動を強制的に追跡することはできません。一方、auditdはカーネル境界でシステムコールを捕捉するため、プロセスの回避行動を防ぐことができます。ただし、ルール設定によっては大量のログが生成され、ディスクI/Oおよびストレージ容量を圧迫するトレードオフがあります。</p> <p><b>UDP転送 と TCP転送 の比較:</b> rsyslogによるリモート転送において、UDP（@）は高速ですがパケットロスのリスクがあります。TCP（@@）は接続指向であり、ネットワーク一時切断時にも再送制御が行われるため、セキュリティ監査ログの転送にはTCPを採用します。</p> <h2 id="3-実装手順">3. 実装手順 </h2><h3 id="31-auditdのインストールと有効化">3.1 auditdのインストールと有効化 </h3><p>Debian/Ubuntu環境において、以下のコマンドを実行してauditdを導入し、サービスを有効化します。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>sudo apt-get update </span></span><span style="display:flex;"><span>sudo apt-get install -y auditd audispd-plugins </span></span><span style="display:flex;"><span>sudo systemctl enable --now auditd </span></span></code></pre></div><h3 id="32-監査ルールの定義">3.2 監査ルールの定義 </h3><p>/etc/audit/rules.d/audit.rulesにカスタムルールを追加し、重要なファイルやディレクトリへのアクセスを監視します。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-text" data-lang="text"><span style="display:flex;"><span>-w /etc/shadow -p wa -k shadow_watch </span></span><span style="display:flex;"><span>-w /etc/sudoers -p wa -k sudoers_watch </span></span></code></pre></div><p>設定を反映させるため、監査ルールを再読み込みします。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>sudo auigenrules --load </span></span></code></pre></div><h3 id="33-rsyslogによるリモートtcp転送設定">3.3 rsyslogによるリモートTCP転送設定 </h3><p>ローカルログの改ざんを防ぐため、/etc/rsyslog.conf（または/etc/rsyslog.d/配下の設定ファイル）にリモート転送ルールを追加します。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-text" data-lang="text"><span style="display:flex;"><span>*.* @@remote-log-server:514 </span></span></code></pre></div><p>設定変更後、rsyslogサービスを再起動します。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>sudo systemctl restart rsyslog </span></span></code></pre></div><h2 id="4-運用検証とログ解析パイプライン">4. 運用検証とログ解析パイプライン </h2><h3 id="41-監査ログの検索-ausearch">4.1 監査ログの検索 (ausearch) </h3><p>定義したキー（shadow_watch）に一致するイベントを検索し、数値を人間が読める形式に変換して表示します。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>sudo ausearch -k shadow_watch -i </span></span></code></pre></div><h3 id="42-削除された実行バイナリの検知">4.2 削除された実行バイナリの検知 </h3><p>💡 メモリ上で実行中でありながら、ディスク上から削除された不審なプロセスを特定します。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>sudo ls -l /proc/*/exe | grep <span style="color:#e6db74">&#34;deleted&#34;</span> </span></span></code></pre></div><h3 id="43-sshブルートフォース攻撃の集計">4.3 SSHブルートフォース攻撃の集計 </h3><p>/var/log/auth.logからログイン失敗回数の多いIPアドレスを抽出し、降順でソートします。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>grep <span style="color:#e6db74">&#34;Failed password&#34;</span> /var/log/auth.log | awk <span style="color:#e6db74">&#39;{print $(NF-3)}&#39;</span> | sort | uniq -c | sort -nr </span></span></code></pre></div><h2 id="5-導入効果">5. 導入効果 </h2><p>本構成の導入により、以下の効果が確認されました。</p> <p>💡 <b>監査の網羅性向上:</b> /etc/shadowや/etc/sudoersに対する変更操作が、実行したユーザーID（auid）とともにカーネルレベルで確実に記録されるようになりました。</p> <p>💡 <b>ログの保全性確保:</b> rsyslogのTCP転送設定により、ローカルログが消去された場合でも、リモートのログサーバー側でイベント履歴を追跡可能な状態が維持されます。</p>