审计日志电子邮件未发送到正确的地址

审计日志电子邮件未发送到正确的地址

在 Ubuntu 20 上,我尝试将审计日志发送到[电子邮件保护]。我确实有一个真正的域和电子邮件服务器,但我在这里编辑它们。当我触发审核事件时,电子邮件会被发送到本地计算机上的 root。到目前为止,我尝试了以下操作:

  • 运行测试邮件发送成功。echo "Subject: test" | sendmail -f root@my_machine.com [email protected]
  • /etc/audit/auditd.conf已修改action_mail_acct = rootaction_mail_acct = [email protected]
  • 修改 auditd.conf 后,我使用以下命令重新启动它service auditd restart

我没有看到任何相关错误:

  • /var/log/mail.err
  • /var/log/mail.log

::: 更新 :::

action_email_acct设置为真实账户后,我sudo ls在终端中运行以生成审计事件,我可以在/var/log/audit/audit.log。如果需要通过电子邮件发送审计事件,我应该在这里看到它吗?

/etc/audit/auditd.conf 截图

答案1

不是用于发送审计警报,而是用于在或配置为时发出有关磁盘空间不足(低于或)action_mail_acct的通知。来自 space_leftadmin_space_leftspace_left_actionadmin_space_left_actionemailauditd.conf(5)

space_left_action

此参数告诉系统在检测到磁盘空间开始不足时应采取什么措施。有效值为ignoresyslogrotateemailexecsuspend和。如果设置为,则审计守护进程不执行任何操作。 表示它将向 syslog 发出警告。 将轮换日志,丢失最旧的single日志以释放空间。 haltignoresyslogrotateemail表示它将向 action_mail_acct以及将消息发送到 syslog。exec /path-to-script 将执行该脚本。- -

admin_space_left_action

此参数告诉系统在检测到磁盘空间不足。有效值为ignoresyslogrotateemailexecsuspend和。如果设置为,single则审计守护进程不执行任何操作。 表示它将向 syslog 发出警告。 将轮换日志,丢失最旧的日志以释放空间。 haltignoresyslogrotateemail表示它将向action_mail_acct 以及将消息发送到系统日志。- -

相关内容