如何查看服务器上的审计日志

如何查看服务器上的审计日志

我正在尝试进行 nfs 共享。我已配置共享。

现在我想查看与 nfs 共享中的文件相关的日志。

我创建了一个集中式日志服务器。我不知道集中式 rsyslog 和集中式审计日志之间的区别。所以我创建了两者。

我使用以下链接创建了中央 rsyslog 服务器:

http://yallalabs.com/linux/how-to-setup-a-centralized-log-server-using-rsyslog-on-ubuntu-16-04-lts/#comment-2590

我使用以下链接创建了中央审计日志服务器:

https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/

我需要查看服务器中的审计日志。

我需要合并服务器和客户端的日志。

我在服务器和客户端中创建了相同的密钥“NFS”,用于在审计日志中监控文件。

但是当我ausearch -k NFS -i在服务器上执行此操作时,我只获得与服务器相关的日志,而找不到任何客户端机器的日志。

我怎样才能做到这一点?

我是 Linux 新手。请帮助我。

谢谢。 :)

編輯1

以下是我对 nfs 的配置步骤:

NFS 服务器:

sudo apt-get install nfs-kernel-server

sudo mkdir /var/nfs/general

sudo nano /etc/exports

  /var/nfs/general *(rw,sync,no_root_squash,no_subtree_check)

sudo exportfs -a

sudo service nfs-kernel-server start

NFS 客户端:

sudo apt-get install nfs-common

sudo mount 172.21.215.101:/var/nfs/general /mnt

編輯2

以下是审计日志的配置

sudo apt-get auditd audispd-plugins

在服务器端:

sudo yum install firewalld
sudo service firewalld start
sudo firewall-cmd --zone=public --add-port=60/tcp --permanent

sudo nano /etc/audit/auditd.conf
     tcp_listen_port = 60

sudo service auditd restart

在客户端:

nano /etc/audisp/audisp-remote.conf
    remote_server = 172.21.215.101
    port = 60

nano /etc/audisp/plugins.d/au-remote.conf
    active = yes

sudo service auditd restart

编辑3

Rsyslog配置:

在服务器端:

cp /etc/rsyslog.conf /etc/rsyslog.conf.orig

nano /etc/rsyslog.conf

取消注释 tcp 和 udp

[...]
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
[...]
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
[...]

nano /etc/rsyslog.d/tmpl.conf
    $template TmplAuth, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
    $template TmplMsg, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"

    authpriv.* ?TmplAuth
    *.info;mail.none;authpriv.none;cron.none ?TmplMsg

sudo ufw allow 514/tcp
sudo ufw allow 514/udp

sudo ufw reload

systemctl restart rsyslog

在客户端:

cp /etc/rsyslog.conf /etc/rsyslog.conf.orig

nano /etc/rsyslog.conf
    [...]
    ##RULES## 
    *.* @192.168.164.78:514
    [...]

systemctl restart rsyslog

相关内容