Auditd ist das zentrale Audit-Framework unter Linux, das detaillierte Systemereignisse aufzeichnet. Eine gut konfigurierte Auditd-Baseline liefert wertvolle Sicherheitsinformationen, ohne dass Administratoren durch überflüssige Meldungen überlastet werden. In diesem Tutorial lernen Sie, wie Sie Auditd sinnvoll konfigurieren, High-Signal-Rulesets definieren und die Noise Reduction effektiv umsetzen.

Auditd Grundlagen

Auditd überwacht Systemaufrufe, Benutzeraktivitäten, Dateiänderungen und andere sicherheitsrelevante Ereignisse. Es speichert die Daten in einem binären Audit-Log, das später analysiert werden kann.

Wichtige Komponenten

• auditd: Der Hauptdaemon, der Ereignisse sammelt
• auditctl: CLI-Tool zur dynamischen Anpassung von Regeln
• augenrules: Persistente Regeln für den Auditd-Dienst
• ausearch: Tool zur Suche in den Audit-Logs
• audit.rules: Datei für statische Audit-Regeln

High-Signal Rulesets definieren

High-Signal Regeln fokussieren auf Ereignisse, die wirklich auf Sicherheitsrelevanz hinweisen, wie unautorisierte Zugriffe oder kritische Systemänderungen. Ziel ist es, aussagekräftige Daten zu erhalten.

Beispiele für High-Signal Regeln

# Überwachung von Passwort- und Accountänderungen
-w /etc/passwd -p wa -k identity_changes
-w /etc/shadow -p wa -k identity_changes
-w /etc/group -p wa -k identity_changes
Überwachung von sudo und root-Privilegien
-w /etc/sudoers -p wa -k privileged_access

-w /etc/sudoers.d/ -p wa -k privileged_access
Überwachung wichtiger Konfigurationsdateien
-w /etc/ssh/sshd_config -p wa -k ssh_config_changes
Überwachung kritischer Binärdateien
-w /usr/bin/sudo -p x -k binary_execution

-w /bin/su -p x -k binary_execution

Erklärung der Flags

• w: Watch (Überwachen von Schreiboperationen)
• a: Append (Anhängen)
• x: Execute (Ausführung überwachen)
• -k: Schlüsselwort für einfache Filterung später

Noise Reduction Strategien

Audit-Logs können schnell riesig werden, wenn alles überwacht wird. Noise Reduction sorgt dafür, dass nur relevante Ereignisse protokolliert werden.

Techniken zur Reduktion von Lärm

• Nur kritische Verzeichnisse überwachen
• Systemdienste und temporäre Dateien ausschließen
• Gruppenbasierte Filterung für bekannte, sichere Benutzer
• Events mit geringer Relevanz in separaten Logs oder mit niedriger Priorität
• Regelmäßige Überprüfung und Anpassung der Rulesets

Beispiel für gezielte Excludes

# temporäre Logs ignorieren
-w /var/tmp/ -p wa -k exclude_temp
-w /tmp/ -p wa -k exclude_temp

Persistente Regeln mit augenrules

Um sicherzustellen, dass Auditd nach jedem Reboot die gewünschten Regeln lädt, sollten diese über /etc/audit/rules.d/ konfiguriert werden.

Beispiel für eine persistente Rules-Datei

/etc/audit/rules.d/high_signal.rules
-w /etc/passwd -p wa -k identity_changes

-w /etc/shadow -p wa -k identity_changes

-w /etc/sudoers -p wa -k privileged_access

Nach Änderung die Regeln neu laden:

augenrules --load
systemctl restart auditd

Auswertung und Reporting

Nur das Sammeln von Logs ist nicht genug. Die Auswertung und das Reporting helfen, High-Signal Events zu erkennen.

Tools zur Analyse

• ausearch: Suche nach Events über Schlüsselwörter

  ausearch -k identity_changes
  

• aureport: Zusammenfassungen und Statistiken

  aureport -f -i
  

• Externe Analyse via SIEM-Lösungen (ELK, Splunk)

Integration mit Monitoring

Auditd kann direkt in Monitoring-Lösungen eingebunden werden, um Alerts für kritische Events zu generieren.

Beispiel: Echtzeit-Alert

ausearch -m USER_LOGIN -sv no | while read line; do
   echo "Unauthorized login attempt detected: $line" | mail -s "Audit Alert" admin@example.com
done

Best Practices für Auditd Baselines

• High-Signal Rules priorisieren, um Noise zu vermeiden
• Regelmäßige Überprüfung und Aktualisierung der Regeln
• Persistente Regeln für Reboots sicherstellen
• Forwarding zu zentralen Audit-Servern einrichten
• Logging auf manipulationssicheren Speichern
• Retention und Rotation definieren, um Speicher zu kontrollieren
• Monitoring und Alerts für kritische Events implementieren

Zusammenfassung

Ein sorgfältig konfiguriertes Auditd-Setup liefert sichere, aussagekräftige Logs. High-Signal Rules minimieren unnötige Daten, Noise Reduction sorgt für Übersichtlichkeit. Mit persistenter Konfiguration und Integration in zentrale Systeme entsteht eine Audit-Baseline, die für Compliance, Security Operations und Incident Response genutzt werden kann.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.