在 RHEL-7 中将 Auditd.log 数据重定向到 rsyslog

在 RHEL-7 中将 Auditd.log 数据重定向到 rsyslog

我想将auditd日志数据重定向rsyslog审计日志文件。

我看到默认情况下/etc/audit/auditd.conf已添加以下行以将其重定向至

log_file = /var/log/audit/audit.log

是否可以将审计日志重定向到同一台机器syslogrsyslog在同一台机器上。

注意:此时我没有任何外部日志服务器,并且想在运行我的应用程序的同一 RHEL 服务器实例上进行测试。

非常感谢您的帮助。

注意:我的rsyslog服务器和审计日志位于同一个服务器实例上。RHEL-7 --> 3.10.0-862.el7.x86_64

谢谢

答案1

如果您希望将审计日志写入/var/log/messages,可以通过编辑active配置文件中的选项值来实现:

# vim /etc/audisp/plugins.d/syslog.conf
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
# systemctl reload auditd

相关内容