Linux
如何阻止 syslog 或 auditd/audisp 將主機資訊添加到轉發的日誌文件?
我已將 auditd 日誌文件轉發到中央日誌伺服器,但在中央日誌伺服器收到的日誌添加了我不想要的額外資訊。注意(auditd 和 syslog 位於同一台伺服器上,其中 auditd 將 auditd 日誌事件轉發到其本地 syslog(local6 設施),本地 syslog 會將 local6.* 發送到中央日誌伺服器)
這是在中央日誌伺服器收到的日誌,其中此“
<182>Nov 29 14:04:16 ubuntu audispd: node=ubuntu
”由 syslog(在日誌源)或 audisp(在日誌源)附加
(auditd-->syslog-->) --> centralSyslog
<182>Nov 29 14:04:16 ubuntu audispd: node=ubuntu type=SYSCALL msg=audit(1511943556.347:424): arch=c000003e syscall=2 success=yes exit=3 a0=2647ca8 a1=90800 a2=2648317 a3=20 items=1 ppid=2726 pid=2727 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4 comm="bash" exe="/bin/bash" key="log_sec" <182>Nov 29 14:04:16 ubuntu audispd: node=ubuntu type=CWD msg=audit(1511943556.347:424): cwd="/tmp" <182>Nov 29 14:04:16 ubuntu audispd: node=ubuntu type=PATH msg=audit(1511943556.347:424): item=0 name="/opt/secret_dir/" inode=918715 dev=fc:00 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL <182>Nov 29 14:04:16 ubuntu audispd: node=ubuntu type=PROCTITLE msg=audit(1511943556.347:424): proctitle="bash"
實際的日誌文件如下所示:-
type=SYSCALL msg=audit(1511943489.078:423): arch=c000003e syscall=263 success=yes exit=0 a0=ffffff9c a1=12480c0 a2=0 a3=15e items=2 ppid=2727 pid=19367 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4 comm="rm" exe="/bin/rm" key="log_sec" type=CWD msg=audit(1511943489.078:423): cwd="/tmp" type=PATH msg=audit(1511943489.078:423): item=0 name="/opt/secret_dir/" inode=918715 dev=fc:00 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT type=PATH msg=audit(1511943489.078:423): item=1 name="/opt/secret_dir/password.txt" inode=918727 dev=fc:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE type=PROCTITLE msg=audit(1511943489.078:423): proctitle=726D002D7266002F6F70742F7365637265745F6469722F70617373776F72642E747874 type=SYSCALL msg=audit(1511943556.347:424): arch=c000003e syscall=2 success=yes exit=3 a0=2647ca8 a1=90800 a2=2648317 a3=20 items=1 ppid=2726 pid=2727 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4 comm="bash" exe="/bin/bash" key="log_sec" type=CWD msg=audit(1511943556.347:424): cwd="/tmp" type=PATH msg=audit(1511943556.347:424): item=0 name="/opt/secret_dir/" inode=918715 dev=fc:00 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL type=PROCTITLE msg=audit(1511943556.347:424): proctitle="bash"
我的 audisp 配置文件如下所示(在 LogSource server1)
cat /etc/audisp/plugins.d/syslog.conf | grep -v "#" active = yes direction = out path = builtin_syslog type = builtin args = LOG_LOCAL6 format = string
rsyslog 配置文件如下所示(在源日誌伺服器 1)
貓 /etc/rsyslog.d/50-default.conf
.. local6.* @@192.168.8.147:6161
您可以通過為消息定義自己的模板來在發送系統日誌中抑制這種情況。例如,添加到您
.conf
的行$template newmsg,"%msg:R,ERE,1:.* node=ubuntu (.*)--end%\n"
然後在操作中使用它:
local6.* @@192.168.8.147:6161; newmsg
有關 regexp 屬性替換器的說明,請參閱我以前的文章。