我想将auditd日志数据重定向rsyslog到审计日志文件。
我看到默认情况下/etc/audit/auditd.conf已添加以下行以将其重定向至
log_file = /var/log/audit/audit.log
是否可以将审计日志重定向到同一台机器syslog或rsyslog在同一台机器上。
注意:此时我没有任何外部日志服务器,并且想在运行我的应用程序的同一 RHEL 服务器实例上进行测试。
非常感谢您的帮助。
注意:我的rsyslog服务器和审计日志位于同一个服务器实例上。RHEL-7 --> 3.10.0-862.el7.x86_64
谢谢
答案1
如果您希望将审计日志写入/var/log/messages,可以通过编辑active配置文件中的选项值来实现:
# vim /etc/audisp/plugins.d/syslog.conf
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
# systemctl reload auditd