主页 / server / 问题 / 792766
Accepted
ThunderJack
Asked: 2016-07-30 08:22:11 +0800 CST

auditd 日志的 syslog 工具是什么?

  • 772

试图通过 syslog 仅转发我的审核事件,但我不知道要使用哪个工具。我不想将所有内容都发送到我的系统日志服务器,因为它会在日志记录中产生冗余。我已将 audispd syslog 插件设置为活动状态,据我所知,这应该使 auditd 使用 syslog 来记录事件。现在我所要做的就是为auditd 的事件设置正确的工具以转发到我的日志服务器。

如果我对应该如何做有误,请告诉我。*我在 CentOS 7 上尝试这个

linux centos syslog rsyslog auditd

3 个回答

  1. Best Answer

    审核到 syslog 插件工具设置

    Audisp 插件默认将审核数据发送到系统日志到user设施。但是,您可以更改此设置。

    cat /etc/audisp/plugins.d/syslog.conf
# This file controls the configuration of the syslog plugin.
# It simply takes events and writes them to syslog. The
# arguments provided can be the default priority that you
# want the events written with. And optionally, you can give
# a second argument indicating the facility that you want events
# logged to. Valid options are LOG_LOCAL0 through 7, LOG_AUTH,
# LOG_AUTHPRIV, LOG_DAEMON, LOG_SYSLOG, and LOG_USER.

active = yes
direction = out
path = builtin_syslog
type = builtin 
args = LOG_INFO
format = string

    那里的关键是Valid options are LOG_LOCAL0 through 7您可以根据自己的需要进行调整。在我的系统上,它们是上述默认设置,我在user设施日志中收到审核消息。

    • 3

  2. 我使用这个配置的原因是因为au-remote插件不可靠,并且丢弃了很多消息。结果,它还会使我的系统日志充满错误。我还想将转发的审计日志单独保存在聚合服务器上。

    首先,配置syslog插件:

    active = yes
direction = out
path = builtin_syslog
type = builtin 
args = LOG_INFO LOG_LOCAL6

    请注意,有两个参数argspriorityfacilityLOG_INFO优先级意味着发送所有info严重或更严重的消息。该设施基本上是rsyslog审计调度员应该将消息路由到的通道。它可以是syslog插件文档中列出的任何有效选项。我只是在使用LOG_LOCAL6它,因为它没有被我系统中的任何其他应用程序使用,并且我想将审计日志分开。

    编辑/etc/audisp/plugins.d/au-remote.conf以禁用au-remote插件:

    active = no

    syslog 插件的文档建议如下:

    如果您正在聚合多台机器,您应该编辑 auditd.conf 以将 name_format 设置为有意义的内容并将 log_format 设置为丰富。通过这种方式,您可以知道事件的来源,并在将事件发送出机器之前在本地解析用户名和组。

    所以我使用了这些设置:

    NAME_FORMAT = HOSTNAME
LOG_FORMAT = ENRICHED

    审计日志已在本地写入/etc/audit,因此无需编辑,并告诉它将来自审计调度程序/etc/rsyslog.conf的消息写入文件。local6您只需要确保为转发配置了 rsyslog,消息就会发送到聚合服务器。

    如果您只想转发审核消息,请在 中执行以下操作/etc/rsyslog.conf,然后重新启动rsyslog.service

    local6.* @@logs.example.com:514

    重新启动审核守护程序以应用设置(不要使用systemctl restart):

    service restart auditd

    然后,在您的日志聚合服务器上,编辑/etc/rsyslog.conf以将传入消息写入专用文件:

    local6*                /var/log/auditd-forwarded

    最后,将此日志添加到/etc/logrotate.d/syslog(在聚合服务器上)的日志轮换计划中:

    /var/log/spooler
/var/log/auditd-forwarded
{
    missingok

    注意:您可以选择将logrotate配置放在其自己的文件中。

    这已被验证可在 CentOS 7 上运行。

    • 1

  3. 我对这个文件中的键和值感到困惑,所以这是一个适合我的工作配置:-(使用的系统:Ubuntu 16.04)/etc/audisp/plugins.d/syslog.conf

    active = yes
direction = out
path = builtin_syslog
type = builtin 
args = LOG_LOCAL6    #send log to local6 facility

    编辑 rsyslog 配置以保存 auditd 日志

    /etc/rsyslog.d/50-default.conf
local6.*     @@192.168.8.147:6161    #send local6 log to central log server listening on tcp port 6161

# To save local6 to file
local6.*    /tmp/auditd.log
    • 0

相关问题