將審計日誌發送到 SYSLOG 伺服器

我正在執行幾個基於 RHEL 的系統，它們利用 2.6 核心中的審計功能來跟踪使用者活動，我需要將這些日誌發送到集中的 SYSLOG 伺服器以進行監視和事件關聯。任何人都知道如何實現這一目標？

編輯：11/17/14

這個答案可能仍然有效，但在 2014 年，使用 Audisp 外掛是更好的答案。

---

如果您正在執行股票 ksyslogd syslog 伺服器，我不知道該怎麼做。但是在他們的Wiki上有很好的使用 rsyslog 的說明。( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

我將總結：

• 在發送客戶端 ( rsyslog.conf) 上：

#審計審計日誌 
$InputFileName /var/log/audit/audit.log 
$InputFileTag tag_audit_log： 
$InputFileStateFile 審計日誌 
$InputFileSeverity 資訊 
$InputFileFacility local6 
$InputRunFileMonitor

請注意，該imfile模組需要先前已在 rsyslog 配置中載入。這是負責的行：

$ModLoad 圖像文件

所以檢查它是否在你的rsyslog.conf文件中。如果不存在，請將其添加### MODULES ###到啟用此模組的部分下；否則，上面的 auditd 日誌配置將不起作用。

• 在接收伺服器 ( rsyslog.conf) 上：

$template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" 
本地6.*

在兩台主機上重新啟動服務 ( service rsyslog restart)，您應該開始接收auditd消息。

引用自：https://serverfault.com/questions/202044