我正在尝试进行 nfs 共享。我已配置共享。
现在我想查看与 nfs 共享中的文件相关的日志。
我创建了一个集中式日志服务器。我不知道集中式 rsyslog 和集中式审计日志之间的区别。所以我创建了两者。
我使用以下链接创建了中央 rsyslog 服务器:
我使用以下链接创建了中央审计日志服务器:
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
我需要查看服务器中的审计日志。
我需要合并服务器和客户端的日志。
我在服务器和客户端中创建了相同的密钥“NFS”,用于在审计日志中监控文件。
但是当我ausearch -k NFS -i
在服务器上执行此操作时,我只获得与服务器相关的日志,而找不到任何客户端机器的日志。
我怎样才能做到这一点?
我是 Linux 新手。请帮助我。
谢谢。 :)
編輯1
以下是我对 nfs 的配置步骤:
NFS 服务器:
sudo apt-get install nfs-kernel-server
sudo mkdir /var/nfs/general
sudo nano /etc/exports
/var/nfs/general *(rw,sync,no_root_squash,no_subtree_check)
sudo exportfs -a
sudo service nfs-kernel-server start
NFS 客户端:
sudo apt-get install nfs-common
sudo mount 172.21.215.101:/var/nfs/general /mnt
編輯2
以下是审计日志的配置
sudo apt-get auditd audispd-plugins
在服务器端:
sudo yum install firewalld
sudo service firewalld start
sudo firewall-cmd --zone=public --add-port=60/tcp --permanent
sudo nano /etc/audit/auditd.conf
tcp_listen_port = 60
sudo service auditd restart
在客户端:
nano /etc/audisp/audisp-remote.conf
remote_server = 172.21.215.101
port = 60
nano /etc/audisp/plugins.d/au-remote.conf
active = yes
sudo service auditd restart
编辑3
Rsyslog配置:
在服务器端:
cp /etc/rsyslog.conf /etc/rsyslog.conf.orig
nano /etc/rsyslog.conf
取消注释 tcp 和 udp
[...]
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
[...]
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
[...]
nano /etc/rsyslog.d/tmpl.conf
$template TmplAuth, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.* ?TmplAuth
*.info;mail.none;authpriv.none;cron.none ?TmplMsg
sudo ufw allow 514/tcp
sudo ufw allow 514/udp
sudo ufw reload
systemctl restart rsyslog
在客户端:
cp /etc/rsyslog.conf /etc/rsyslog.conf.orig
nano /etc/rsyslog.conf
[...]
##RULES##
*.* @192.168.164.78:514
[...]
systemctl restart rsyslog