在 Linux (debian) 机器上,我有一个 NFS 服务器,它似乎因请求而过载。为了找出问题,我尝试使用auditd/auditctl 来监视NFS 服务器导出的分区中访问的文件。
问题是我们的磁盘或 nfs 问题阻止了auditd 在 /var/log/auditd/auditd.log 上写入日志。
我真正需要的是将所有日志发送到本地文件以外的其他地方。
我可以简单地将所有日志从 192.168.1.1 重定向到 192.168.1.2 (网络工作正常)吗?
答案1
根据你的问题表述方式,我假设你使用的是 Linux。如果是这种情况,那么是的,请查看 audisp-remote 和 audispd。这些是 Linux 上当前审计工具的标准组件。
答案2
您可以auditd在 中设置日志文件/etc/auditd.conf。您无法使其auditd自身通过网络发送日志,但您可以将其定向到其他远程文件系统(例如 sshfs)上的文件。