監査ログ構成計画

監査ログ構成計画

特定のイベントを記録するように構成された監査規則を持つRHELサーバーがあります。このログをリモートsyslogサーバーに渡したいと思います。これらの特定のログを転送する方法が見つからず、リモートsyslogサーバーの/var/logがいっぱいになることが多いため、すべての監査ログをリモートサーバーに転送するように構成しました。この問題を解決するには2つの方法がありますが、どちらも技術的な解決策を見つけることができません。

  1. その特定のルールのイベントを別々のログファイルに記録するか、可能であればリモートsyslogサーバーに直接書き込みます。
  2. 特定のルールによって生成された監査ログのみをリモートsyslogサーバーに転送する

他の解決策も高く評価されます。

答え1

RHです解決策(アカウントが必要):

audisp-syslogプラグインのインストール

[root@r88 ~]# dnf install audispd-plugins
[root@r88 ~]# vi /etc/audit/plugins.d/syslog.conf
active = yes
args = LOG_INFO LOG_LOCAL3

システムログの設定 /etc/rsyslog.conf を編集し、local3.info を送信する行を追加します。

[root@client ~]# vi /etc/rsyslog.conf
#[..]
local3.info        @remote.syslog.example.com
local3.info        stop

syslogデーモンと監査サービスを再起動します。

関連情報