Linux
auditd 日誌的 syslog 工具是什麼?
試圖通過 syslog 僅轉發我的審核事件,但我不知道要使用哪個工具。我不想將所有內容都發送到我的系統日誌伺服器,因為它會在日誌記錄中產生冗餘。我已將 audispd syslog 外掛設置為活動狀態,據我所知,這應該使 auditd 使用 syslog 來記錄事件。現在我所要做的就是為auditd 的事件設置正確的工具以轉發到我的日誌伺服器。
如果我對應該如何做有誤,請告訴我。*我在 CentOS 7 上嘗試這個
審核到 syslog 外掛工具設置
Audisp 外掛預設將審核數據發送到系統日誌到
user
設施。但是,您可以更改此設置。cat /etc/audisp/plugins.d/syslog.conf # This file controls the configuration of the syslog plugin. # It simply takes events and writes them to syslog. The # arguments provided can be the default priority that you # want the events written with. And optionally, you can give # a second argument indicating the facility that you want events # logged to. Valid options are LOG_LOCAL0 through 7, LOG_AUTH, # LOG_AUTHPRIV, LOG_DAEMON, LOG_SYSLOG, and LOG_USER. active = yes direction = out path = builtin_syslog type = builtin args = LOG_INFO format = string
那裡的關鍵是
Valid options are LOG_LOCAL0 through 7
您可以根據自己的需要進行調整。在我的系統上,它們是上述預設設置,我在user
設施日誌中收到審核消息。