使用 RHEL6,我目前已设置 audispd 以将日志发送到远程服务器。远程服务器成功接收消息,并将其写入远程审计日志。我的问题是,我似乎无法让转发的消息(本地消息有效)由 audispd 处理并写入 rsyslog。
这不起作用。box1 auditd ===> box1 audispd ===> box2 auditd XXX> box2 audispd XXX> box2 rsyslog
确实如此。box2 auditd ===> box2 audispd ===> box2 rsyslog
我大致知道如何配置 audispd 以将本地日志发送到 rsyslog,但转发的日志不会发送到 rsyslog。上面的 X 表示流量未到达目的地。
我不会使用 imfile 或其他解决方法,除非无法通过 box2 上的 audispd 发送转发的消息。我知道我可以发送到 box1 上的 rsyslog,但我不打算这样做。