我需要将夜间yum更新检查(使用yum-cron)的事件摄取到SIEM中。不幸的是,yum只在执行操作时将事件记录到yum.log,例如更新或安装。检查更新时没有记录任何事件,但没有可用的事件。审计人员还指出,摄取证明yum-cron运行的事件是不够的,所以我不能从cron日志中导入事件。
我可以运行一个运行yum check-update的脚本并将输出传递给一个文件,然后让rsyslog从该文件中获取行,但这很麻烦而且不理想。我还希望它尽可能容易配置,因为它必须编写脚本才能在新实例上快速配置它。
它也是来自供应商的特殊发行版,而logger命令不适用于发行版上的rsyslog。
是否有一种简单的方法可以通过日志跟踪yum运行的事实以及没有找到更新的软件包?表明所有包裹都是最新的?
答案 0 :(得分:0)
另一个论坛让我开始寻求解决方案的路径,这就是我最终要解决的问题:
yum-cron支持电子邮件通知,遗憾的是我们使用的SIEM不通过电子邮件提取事件。然而,通过yum-cron脚本查看,他们将输出重定向到临时文件,然后用于通过电子邮件发送通知。我最后编辑了/etc/cron.daily/0yum.cron脚本,将输出重定向到/var/log/yum.log,改为:
} >> $YUMTMP 2>&1
为:
} >> /var/log/yum.log 2>&1
然后我使用rsyslog的im_file模块来摄取yum.log并将其转发给SIEM。