我想將auditd日誌數據重定向到rsyslog而不是audit.log文件。

我看到預設情況下在*/etc/audit/auditd.conf*中包含以下行以將其重定向到

log_file = /var/log/audit/audit.log

是否可以將審核日誌重定向到同一台機器syslog或rsyslog在同一台機器上。

注意：此時我沒有任何外部日誌伺服器，並希望在執行我的應用程序的同一 RHEL 伺服器實例上進行測試。

非常感謝任何幫助。

注意：我的rsyslog伺服器和 auditd 日誌在同一個伺服器實例上。RHEL-7 –> 3.10.0-862.el7.x86_64

謝謝

如果要審計日誌寫入/var/log/messages，可以通過在配置文件中編輯活動選項值來實現

vim /etc/audisp/plugins.d/syslog.conf

活動 = 是 方向 = 輸出路徑 = builtin_syslog 類型 = 內置 args = LOG_INFO 格式 = 字元串

systemctl 重新載入審核

引用自：https://serverfault.com/questions/913467