我在两台 RHEL 服务器中配置了auditd,并具有所需的规则。审核日志符合预期。我想将这些日志转发到中央服务器,以便分析起来很容易。我尝试了此链接中提到的两种方法 将auditd日志发送到Red Hat Enterprise中的远程日志服务器
方法 1 的问题(发送到远程 Auditd 服务器):来自所有客户端的日志都附加到单个文件中。我无法为每个客户获取单独的报告。
方法 2 的问题(发送到远程系统日志服务器):服务器端的日志在行开头有多余的单词。这些被添加到来自客户端的实际审核日志中
”Jan 12 16:38:22 MahineName audispd:节点= MahineName“类型=USER_TTY msg=审核(1484257088.191:1486822)
因此,aureport 无法解析这些日志并显示零事件。
请建议一种正确的方法来分别收集所有客户端的所有审核日志并在这些日志上运行 aureport
操作系统:RHEL 6
答案1
有一个选项可以按“节点”过滤 aureport。这应该对我有用
--node node-name
Only select events originating from node name string for processing in the reports. The default is to include all nodes. Multiple nodes are allowed.