我们为两台机器设置了审计消息的集中日志记录:
- 机器(www22.domain.com)是源(centos8)
- 机器(cls.domain.com)是集中日志服务器(centos7)
这是以标准方式完成的,使用 auditd+audisp 插件发送到监听端口 60 的 auditd 服务器,例如如下所述:
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
但是,当我在源上重新启动 auditd 客户端后观察集中日志服务器上的审计日志时,唯一出现的是以下几行
node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success
其中 ::ffff:xyz152 显然是由于来自 IP 地址 xyx152(www22.domain.com 的地址)的一些数据包。因此,客户端-服务器之间的 TCP 连接已建立,并且似乎进一步的消息记录应该可以正常工作。
但日志文件中出现的唯一新行是来自 cls.domain.com 的行。从来就没有来自 www22.domain.com 的审计消息。
我检查了如果将 auditd www22.domain.com 设置为也写入本地审计日志文件,会发生什么情况;然后本地文件会从审计中收到大量消息。但仍然没有通过网络发送任何消息。
如何确保 auditd 客户端通过网络发送相同的消息?
答案1
原来客户已经设置
格式 = ascii
在文件 audisp-remote.conf 中。我已将其更改为
格式 = 托管
在我重新启动 auditd 客户端后,日志开始在集中日志服务器上发送和接收。