在 Ubuntu 20 上,我尝试将审核日志发送到[email protected]。我确实有一个真实的域名和电子邮件服务器,但我在这里对它们进行了编辑。当我触发审核事件时,电子邮件会被发送到本地计算机上的 root。到目前为止我已经尝试过以下操作:
- 运行
echo "Subject: test" | sendmail -f root@my_machine.com [email protected]测试邮件发送成功。 /etc/audit/auditd.conf已修改为替换action_mail_acct = root为action_mail_acct = [email protected]- 修改auditd.conf后,我使用重新启动它
service auditd restart
我没有看到任何相关错误:
- /var/log/mail.err
- /var/log/mail.log
::: 更新 :::
action_email_acct设置为真实帐户后,我sudo ls在终端中运行以生成审计事件,我可以在/var/log/audit/audit.log中看到该事件。如果审核事件应该通过电子邮件发送,我是否应该在此处查看审核事件?
不是用于发送审核警报,而是用于在或配置为 时
action_mail_acct发出有关磁盘空间不足(低于space_left或admin_space_left)的通知。来自 :space_left_actionadmin_space_left_actionemailauditd.conf(5)