Linux

auditd 日誌的 syslog 工具是什麼?

  • October 20, 2020

試圖通過 syslog 僅轉發我的審核事件,但我不知道要使用哪個工具。我不想將所有內容都發送到我的系統日誌伺服器,因為它會在日誌記錄中產生冗餘。我已將 audispd syslog 外掛設置為活動狀態,據我所知,這應該使 auditd 使用 syslog 來記錄事件。現在我所要做的就是為auditd 的事件設置正確的工具以轉發到我的日誌伺服器。

如果我對應該如何做有誤,請告訴我。*我在 CentOS 7 上嘗試這個

審核到 syslog 外掛工具設置

Audisp 外掛預設將審核數據發送到系統日誌到user設施。但是,您可以更改此設置。

cat /etc/audisp/plugins.d/syslog.conf
# This file controls the configuration of the syslog plugin.
# It simply takes events and writes them to syslog. The
# arguments provided can be the default priority that you
# want the events written with. And optionally, you can give
# a second argument indicating the facility that you want events
# logged to. Valid options are LOG_LOCAL0 through 7, LOG_AUTH,
# LOG_AUTHPRIV, LOG_DAEMON, LOG_SYSLOG, and LOG_USER.

active = yes
direction = out
path = builtin_syslog
type = builtin 
args = LOG_INFO
format = string

那裡的關鍵是Valid options are LOG_LOCAL0 through 7您可以根據自己的需要進行調整。在我的系統上,它們是上述預設設置,我在user設施日誌中收到審核消息。

引用自:https://serverfault.com/questions/792766