我们audit.rules在 中定义了和 事物rules.d。其中许多是为了符合 RHEL CIS 规定,其他则更具体地针对 Docker CIS 规定。
我们遇到的一个问题是,由于我们的一些服务器是极其活跃的 docker 工作节点,因此某些规则(即 docker 文件系统规则)每月会产生数 TB 的日志。这增加了提取这些审计日志的成本。我们希望找到一种方法,将 docker 规则生成的审计日志分离到不同的文件中,并将其与所有其他现有的 CIS RHEL 规则分开,以便我们可以使用日志聚合代理将 dockerd 日志转发到成本更低的解决方案。
我考虑的另一种方法是,由于每个 docker 的 audit.rules 都有一个,k=docker我可以使用该密钥过滤掉日志,但问题是该密钥仅与其中一个审计组件(即 SYSCALL)相关联,但对应于 SYSCALL 的其他日志,如 PATH 和 PROCTITLE 在记录中没有直接包含此密钥,因此过滤掉它们并不“容易”。
我还没能想出办法来做到这一点。有人能建议如何将审计日志与不同的规则区分开来吗?
答案1
如果您的日志记录有键,您可以使用它ausearch -k <keyname>来获取与该键相关的所有事件。如果您将它与它结合起来,--checkpoint您可以逐步读取日志。但是,当然,您需要为要过滤的每个键创建单独的检查点文件。