私はDebian 11サーバーを使用しており、監査ログは/var/log/audit/audit.logと/var/log/auth.logに保存されています。彼らは私のauth.logを書いていますが、実際にそこにいるべきではありません。私の構成の関連部分は次のとおりです。
/etc/rsyslog.conf
kern.debug /var/log/kern.log
daemon.* /var/log/daemon.log
*.info;cron,auth,authpriv.none /var/log/syslog
cron.* /var/log/cron.log
user.* /var/log/user.log
auth,authpriv.* /var/log/auth.log
/etc/audit/auditd.conf
log_file = /var/log/audit.log
私はここで少し迷っています。 /var/log/audit/audit.logにのみ監査ログを送信するにはどうすればよいですか?
答え1
監査ログには、認証と承認に関する情報が含まれており、認証ツールに送信されます。これは、次の行を使用することを意味します/etc/rsyslog.conf。
auth,authpriv.* /var/log/auth.log
..彼らも結局入ることになる/var/log/auth.log。
これが発生しないようにするには、次の行をに追加して監査ログをリダイレクトできます/etc/rsyslog.conf。
audit.* /var/log/audit/audit.log
これにより、監査ツールのすべてのログがにリダイレクトされます/var/log/audit/audit.log。
これは/var/log/audit/audit.log監査デーモンのデフォルトのログファイルです。ちなみに/etc/audit/auditd.confログイン情報をに変更されたようです/var/log/audit.log。意図したのか、誤字なのかはよくわかりません。それにもかかわらず、2つの別々のログファイルを使用できます。