特定のイベントを記録するように構成された監査規則を持つRHELサーバーがあります。このログをリモートsyslogサーバーに渡したいと思います。これらの特定のログを転送する方法が見つからず、リモートsyslogサーバーの/var/logがいっぱいになることが多いため、すべての監査ログをリモートサーバーに転送するように構成しました。この問題を解決するには2つの方法がありますが、どちらも技術的な解決策を見つけることができません。
- その特定のルールのイベントを別々のログファイルに記録するか、可能であればリモートsyslogサーバーに直接書き込みます。
- 特定のルールによって生成された監査ログのみをリモートsyslogサーバーに転送する
他の解決策も高く評価されます。
答え1
RHです解決策(アカウントが必要):
audisp-syslogプラグインのインストール
[root@r88 ~]# dnf install audispd-plugins
[root@r88 ~]# vi /etc/audit/plugins.d/syslog.conf
active = yes
args = LOG_INFO LOG_LOCAL3
システムログの設定 /etc/rsyslog.conf を編集し、local3.info を送信する行を追加します。
[root@client ~]# vi /etc/rsyslog.conf
#[..]
local3.info @remote.syslog.example.com
local3.info stop
syslogデーモンと監査サービスを再起動します。