我想设置一个中央日志服务器。日志服务器运行在 debian 6.0.6 上,审计守护进程安装在 1.7.13-1 版本中。
客户端运行的是 Red Hat 5.5,它们通过 audispd 连接到日志服务器。连接工作正常,我可以从每个节点获取所有消息。
我的问题是:日志服务器的 auditd 守护进程是否可以将来自每个节点的消息写入单独的文件中?
我尝试通过 syslog 守护进程传输消息,这可行,但我不能使用 ausearch 之类的工具来分析这些日志文件。
答案1
你可以用 rsyslog 轻松地做到这一点
$template DynFile,"/var/log/%HOSTNAME%/%programname%.log"