我想将日志发送到集中日志记录 (ELK)。由于实际情况,我需要在创建日志的机器上进行处理。如何让每个新的 auditd 事件自动由 ausearch 处理并写入另一个文件?
答案1
最简单(但以批处理为导向):使用 ausearch 中的检查点功能,将输出序列化为某种传输机制(即将多个记录折叠成一行并通过 syslog 传输,然后让您的 logstash 宏再次将其分解)并每 N 分钟运行一次。
更多努力:使用 audit-libs(从 auparse-feed(3) 开始)剪切代码来执行上述操作,并设置一个 auditd 调度程序以将审计发送到您的代码。