审计日志配置方案

审计日志配置方案

我有一个 RHEL 服务器,在其中配置了审核规则来记录特定事件。我想将这些日志转发到远程系统日志服务器。我找不到转发这些特定日志的方法,因此我配置了将所有审核日志转发到远程服务器,因为远程系统日志服务器中的 /var/log 经常变满。我有两种方法来解决这个问题,但我都找不到技术解决方案。

  1. 将该特定规则的事件记录到单独的日志文件中,或者如果可能,直接记录到远程系统日志服务器
  2. 仅将特定规则生成的审核日志转发到远程系统日志服务器

任何其他解决方案都非常感激。

答案1

这里是RH解决方案(需要帐户):

安装 audisp-syslog 插件

[root@r88 ~]# dnf install audispd-plugins
[root@r88 ~]# vi /etc/audit/plugins.d/syslog.conf
active = yes
args = LOG_INFO LOG_LOCAL3

编辑系统日志配置 /etc/rsyslog.conf 并添加一行发送 local3.info

[root@client ~]# vi /etc/rsyslog.conf
#[..]
local3.info        @remote.syslog.example.com
local3.info        stop

重新启动 syslog 守护进程和审核服务:

相关内容