Azure 감사 log 축적

에이전트 필수 패키지 설치 현황체크 (`omsagent, omsconfig, omi, scx, apache-cimprov, mysql-cimprov, docker-cimprov`) Log Analytics 데이터소스 개요 VM의 로그는 Agent를 통해 LogAnalytics에 로그가 수집됨  --- ### 설정방침 * Linux VM에 Log Analytics 에이전트 도입 * 에이전트를 통해 Log Analytics에 로그 수집 * Log Analytics의 보존 기간을 180일 (반년)로 설정 * 장기 저장용 Blob 스토리지로 로그 데이터 전송 --- ### 구축 절차 `모든 단계는 root 계정으로 실시함` * audit 설정 ``` # auditctl -l No rules ``` * audit.rules 편집 ``` # vi /etc/audit/rules.d/audit.rules -D -b 8192 -f 1 -a always,exit -F arch=b64 -S execve ★추가 ``` * 설정 반영을 위해 audit.service를 다시 시작 ``` # service auditd restart ``` * 룰 확인 ``` # auditctl -l -a always,exit -F arch=b64 -S execve ``` * audit.log에 execve 시스템 호출에 대한 로그가 출력되는지 확인 ``` # tail -f /var/log/audit/audit.log ~ type=EXECVE msg=audit(1633917152.375:272482): ~ ``` "/etc/audit/auditd.conf" 파일에서 로그 로테이션 확인 ``` max_log_file = 8 (로그 파일 최대 용량: 8m) num_logs = 5 (유지할 로그 파일 갯수: 5개) ``` #### Azure LogAnalytics 작업공간 만들기 (Azure 구독, 리소스 그룹 설정) #### Linux VM에 LogAnalytics 에이전트 설치 작성한 Log Analytics 작업 공간에서 「에이전트 관리」→「Linux 서버」 탭을 선택. 대상 VM에서 명령 실행 및 설치 ``` [root@dev-log-test ~]# wget https://raw.githubusercontent.com/~생략~ ``` 설치 후 상태 확인 ``` [root@dev-log-test ~]# /opt/microsoft/omsagent/bin/omsadmin.sh -l Primary Workspace: 생략 Status: Onboarded(OMSAgent Running) ``` Status: `Onboarded(OMSAgent Running)`