我正在 CentOS 8 上使用 rsyslog 和 auditd 设置一个中央服务器。我遵循本指南关于如何将远程审计日志发送到我的中央服务器。
注意:这些文件可以在 /etc/audit/ 上找到,而不是在 /etc/audisp/ 上。
所以我在两台服务器上都有以下配置
客户:
/etc/audit/auditd.conf
log_format = ENRICHED
name_format = HOSTNAME
/etc/audit/plugins.d/au-remote.conf
active = yes
/etc/audit/audisp-remote.conf
remote_server = <remote server IP>
port = 60
中央服务器:
/etc/audit/auditd
tcp_listen_port = 60
防火墙:
60/tcp
我已经在两台服务器上重新启动了 auditd 服务,但出现了以下错误: 错误消息
有什么问题吗?或者使审计不可变会影响这一点吗?
答案1
好的,指南有效。我再次重读了审计手册,检查不可变是否影响配置。似乎确实如此!我重新启动了服务器,因为我将其设置为不可变,现在它可以正常工作了。我认为不可变仅适用于规则,它们与配置是分开的。