在 Ubuntu 20 上,我尝试将审计日志发送到[电子邮件保护]。我确实有一个真正的域和电子邮件服务器,但我在这里编辑它们。当我触发审核事件时,电子邮件会被发送到本地计算机上的 root。到目前为止,我尝试了以下操作:
- 运行测试邮件发送成功。
echo "Subject: test" | sendmail -f root@my_machine.com [email protected]
/etc/audit/auditd.conf
已修改action_mail_acct = root
为action_mail_acct = [email protected]
- 修改 auditd.conf 后,我使用以下命令重新启动它
service auditd restart
我没有看到任何相关错误:
- /var/log/mail.err
- /var/log/mail.log
::: 更新 :::
将action_email_acct
设置为真实账户后,我sudo ls
在终端中运行以生成审计事件,我可以在/var/log/audit/audit.log。如果需要通过电子邮件发送审计事件,我应该在这里看到它吗?
答案1
不是用于发送审计警报,而是用于在或配置为时发出有关磁盘空间不足(低于或)action_mail_acct
的通知。来自 space_left
admin_space_left
space_left_action
admin_space_left_action
email
auditd.conf(5)
:
space_left_action
此参数告诉系统在检测到磁盘空间开始不足时应采取什么措施。有效值为
ignore
、syslog
、rotate
、exec
、suspend
和。如果设置为,则审计守护进程不执行任何操作。 表示它将向 syslog 发出警告。 将轮换日志,丢失最旧的single
日志以释放空间。halt
ignore
syslog
rotate
action_mail_acct
以及将消息发送到 syslog。exec /path-to-script 将执行该脚本。- -
admin_space_left_action
此参数告诉系统在检测到磁盘空间不足。有效值为
ignore
、syslog
、rotate
、exec
、suspend
和。如果设置为,single
则审计守护进程不执行任何操作。 表示它将向 syslog 发出警告。 将轮换日志,丢失最旧的日志以释放空间。halt
ignore
syslog
rotate
action_mail_acct
以及将消息发送到系统日志。- -