Debian 11 - 审核日志出现在 /var/log/auth 中

Debian 11 - 审核日志出现在 /var/log/auth 中

我使用的是 Debian 11 服务器,我的审核日志将进入 /var/log/audit/audit.log 以及 /var/log/auth.log。他们正在填写我的 auth.log,他们真的不应该去那里。以下是我的配置的相关部分:

/etc/rsyslog.conf
kern.debug                       /var/log/kern.log
daemon.*                         /var/log/daemon.log
*.info;cron,auth,authpriv.none   /var/log/syslog
cron.*                           /var/log/cron.log
user.*                           /var/log/user.log
auth,authpriv.*                  /var/log/auth.log


/etc/audit/auditd.conf
log_file = /var/log/audit.log

我在这里有点不知所措。如何将审核日志仅发送到 /var/log/audit/audit.log?

答案1

审核日志包含与身份验证和授权相关的信息,因此它们被发送到身份验证工具。这意味着通过在您的中使用以下行/etc/rsyslog.conf

auth,authpriv.*                  /var/log/auth.log

..他们也最终进入/var/log/auth.log.

为了防止这种情况发生,您可以通过将以下行附加到您的 来重定向审核日志/etc/rsyslog.conf

audit.*                          /var/log/audit/audit.log

这会将审计工具的所有日志重定向到/var/log/audit/audit.log.


请注意,这/var/log/audit/audit.log是审核守护程序的默认日志文件。但是,您似乎已经编辑了/etc/audit/auditd.conf登录到/var/log/audit.log.我不确定这是故意的还是打字错误。无论如何,您可能想要使用两个单独的日志文件。

相关内容