我有一个 RHEL 服务器,在其中配置了审核规则来记录特定事件。我想将这些日志转发到远程系统日志服务器。我找不到转发这些特定日志的方法,因此我配置了将所有审核日志转发到远程服务器,因为远程系统日志服务器中的 /var/log 经常变满。我有两种方法来解决这个问题,但我都找不到技术解决方案。
- 将该特定规则的事件记录到单独的日志文件中,或者如果可能,直接记录到远程系统日志服务器
- 仅将特定规则生成的审核日志转发到远程系统日志服务器
任何其他解决方案都非常感激。
答案1
这里是RH解决方案(需要帐户):
安装 audisp-syslog 插件
[root@r88 ~]# dnf install audispd-plugins
[root@r88 ~]# vi /etc/audit/plugins.d/syslog.conf
active = yes
args = LOG_INFO LOG_LOCAL3
编辑系统日志配置 /etc/rsyslog.conf 并添加一行发送 local3.info
[root@client ~]# vi /etc/rsyslog.conf
#[..]
local3.info @remote.syslog.example.com
local3.info stop
重新启动 syslog 守护进程和审核服务: