我使用的是 Debian 11 服务器,我的审核日志将进入 /var/log/audit/audit.log 以及 /var/log/auth.log。他们正在填写我的 auth.log,他们真的不应该去那里。以下是我的配置的相关部分:
/etc/rsyslog.conf
kern.debug /var/log/kern.log
daemon.* /var/log/daemon.log
*.info;cron,auth,authpriv.none /var/log/syslog
cron.* /var/log/cron.log
user.* /var/log/user.log
auth,authpriv.* /var/log/auth.log
/etc/audit/auditd.conf
log_file = /var/log/audit.log
我在这里有点不知所措。如何将审核日志仅发送到 /var/log/audit/audit.log?
答案1
审核日志包含与身份验证和授权相关的信息,因此它们被发送到身份验证工具。这意味着通过在您的中使用以下行/etc/rsyslog.conf:
auth,authpriv.* /var/log/auth.log
..他们也最终进入/var/log/auth.log.
为了防止这种情况发生,您可以通过将以下行附加到您的 来重定向审核日志/etc/rsyslog.conf:
audit.* /var/log/audit/audit.log
这会将审计工具的所有日志重定向到/var/log/audit/audit.log.
请注意,这/var/log/audit/audit.log是审核守护程序的默认日志文件。但是,您似乎已经编辑了/etc/audit/auditd.conf登录到/var/log/audit.log.我不确定这是故意的还是打字错误。无论如何,您可能想要使用两个单独的日志文件。