必須ルールを使用して、両方のRHELサーバーに監査を構成しました。監査ログが期待どおりです。簡単に分析できるように、このログを中央サーバーに転送したいと思います。このリンクに記載されている両方の方法を試しました。 Red Hat Enterprise のリモートログサーバーに監査ログを送信する
方法1の問題(リモートAuditdサーバーに送信):すべてのクライアントのログが単一のファイルに追加されます。顧客ごとに個別のレポートを取得することはできません。
方法2の問題(リモートsyslogサーバーに送信):サーバー側のログの行の先頭に追加の単語があります。これはクライアントの実際の監査ログに追加されます。
」1月12日 16:38:22 MahineName audispd: ノード = MahineName"タイプ= USER_TTY msg=ありがとう(1484257088.191:1486822)
したがって、aureportはこれらのログを解析できず、ゼロ個のイベントを表示します。
すべてのクライアントのすべての監査ログを個別に収集し、これらのログに対してオレプティックを実行する正しい方法を提案します。
オペレーティングシステム:RHEL 6
答え1
「ノード」ごとに aureport をフィルタリングするオプションがあります。これは私に役立つでしょう
--node node-name
Only select events originating from node name string for processing in the reports. The default is to include all nodes. Multiple nodes are allowed.