在 Ubuntu 20 上,我尝试将审计日志发送到[电子邮件保护]。我确实有一个真正的域和电子邮件服务器,但我在这里编辑它们。当我触发审核事件时,电子邮件会被发送到本地计算机上的 root。到目前为止,我尝试了以下操作:
- 运行测试邮件发送成功。
echo "Subject: test" | sendmail -f root@my_machine.com [email protected] /etc/audit/auditd.conf已修改action_mail_acct = root为action_mail_acct = [email protected]- 修改 auditd.conf 后,我使用以下命令重新启动它
service auditd restart
我没有看到任何相关错误:
- /var/log/mail.err
- /var/log/mail.log
::: 更新 :::
将action_email_acct设置为真实账户后,我sudo ls在终端中运行以生成审计事件,我可以在/var/log/audit/audit.log。如果需要通过电子邮件发送审计事件,我应该在这里看到它吗?
答案1
不是用于发送审计警报,而是用于在或配置为时发出有关磁盘空间不足(低于或)action_mail_acct的通知。来自 space_leftadmin_space_leftspace_left_actionadmin_space_left_actionemailauditd.conf(5):
space_left_action此参数告诉系统在检测到磁盘空间开始不足时应采取什么措施。有效值为
ignore、syslog、rotate、exec、suspend和。如果设置为,则审计守护进程不执行任何操作。 表示它将向 syslog 发出警告。 将轮换日志,丢失最旧的single日志以释放空间。haltignoresyslogrotateaction_mail_acct以及将消息发送到 syslog。exec /path-to-script 将执行该脚本。- -
admin_space_left_action此参数告诉系统在检测到磁盘空间不足。有效值为
ignore、syslog、rotate、exec、suspend和。如果设置为,single则审计守护进程不执行任何操作。 表示它将向 syslog 发出警告。 将轮换日志,丢失最旧的日志以释放空间。haltignoresyslogrotateaction_mail_acct以及将消息发送到系统日志。- -