如何使用 ausearch 即時處理審核日誌？

我想將日誌發送到集中式日誌記錄 (ELK)。由於事情的方式，我需要在創建日誌的機器上進行處理。如何讓每個新的 auditd 事件由 ausearch 自動處理並寫入另一個文件？

最簡單（但面向批處理）：使用 ausearch 中的檢查點功能，將輸出序列化為某種傳輸機制（即將多條記錄折疊成一行並通過 syslog 傳輸並讓您的 logstash 宏再次將其分解）並每 N 分鐘執行一次。

更多努力：使用審計庫（從 auparse-feed(3) 開始）剪切程式碼以執行上述操作，並設置一個審計調度程序以將審計發送到您的程式碼。

引用自：https://serverfault.com/questions/774363