devinov Asked: 2016-05-03 09:56:12 +0800 CST2016-05-03 09:56:12 +0800 CST 2016-05-03 09:56:12 +0800 CST 如何使用 ausearch 即时处理审核日志? 772 我想将日志发送到集中式日志记录 (ELK)。由于事情的方式,我需要在创建日志的机器上进行处理。如何让每个新的 auditd 事件由 ausearch 自动处理并写入另一个文件? logging security audit auditd 1 个回答 Voted Best Answer BurnA 2016-07-08T19:18:28+08:002016-07-08T19:18:28+08:00 最简单(但面向批处理):使用 ausearch 中的检查点功能,将输出序列化为某种传输机制(即将多条记录折叠成一行并通过 syslog 传输并让您的 logstash 宏再次将其分解)并每 N 分钟运行一次。 更多努力:使用审计库(从 auparse-feed(3) 开始)剪切代码以执行上述操作,并设置一个审计调度程序以将审计发送到您的代码。
最简单(但面向批处理):使用 ausearch 中的检查点功能,将输出序列化为某种传输机制(即将多条记录折叠成一行并通过 syslog 传输并让您的 logstash 宏再次将其分解)并每 N 分钟运行一次。
更多努力:使用审计库(从 auparse-feed(3) 开始)剪切代码以执行上述操作,并设置一个审计调度程序以将审计发送到您的代码。