Как отправить audit.log на удаленный сервер с помощью syslog-ng

Добрый день,

У меня SLES 10 с syslog-ng (syslog-ng-1.6.8-20.23.1), и я не могу получить правильную конфигурацию, поэтому файл /var/log/audit/audit.log отправляется на удаленный сервер системного журнала.

Я использовал tcpdump и могу видеть некоторые детали в пакетах, которые отправляются на удаленный сервер, но я не вижу ничего с форматом аудита в пакете tcp.

filter f_audit   { facility(13); };
filter f_audit2 {facility(security);};

destination d_local_facility {
  file("/var/log/$FACILITY/$FACILITY.log");


destination d_remote_loghost { tcp("$hostname" port(514)); };

log {
  source(s_local);
    destination(d_remote_loghost5);

};

Что я делаю неправильно?


audit syslog-ng
person user1019100    schedule 11.08.2016    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Вам необходимо настроить источник файла в syslog-ng, который читает файл /var/log/audit/audit.log, и включить этот источник в оператор журнала. Я не вижу этого в вашем файле конфигурации.

Кстати, syslog-ng версии 1.6 не передать словами. syslog-ng 3.7 может проанализируйте журналы auditd для извлечения информации, так что вы можете обновить их. Вы можете найти некоторые пакеты SLES для syslog-ng по адресу https://syslog-ng.org/3rd-party-binaries/

person Robert Fekete    schedule 15.08.2016
comment
Я просто здесь, потому что я тоже изучаю это, но я думаю, что это правильный ответ edoceo .com / howto / syslog-ng. - person amchugh89; 28.03.2018

arrow_upward
0
arrow_downward

В SLES 10 я наконец использовал скрипт при загрузке. Файл after.local эквивалентен rc.local

Итак, в /etc/init.d/after.local:

nohup / usr / bin / tailf /var/log/audit/audit.log | / bin / logger -t audispd -p local6.info &

В SLES 11 это проще, потому что диспетчер auditspd существует.

person user1019100    schedule 29.08.2016