Как отправить audit.log на удаленный сервер с системного журнала-нг

Question

Добрый день,

У меня есть SLES 10 с Syslog-нг (Syslog-нг-1.6.8-20.23.1) , и я не могу получить чтобы файл /var/log/audit/audit.log был отправлен на удаленный сервер syslog.

Я использовал tcpdump, и я могу видеть некоторые детали в пакетах, которые отправляются на удаленный сервер, но я не вижу ничего с форматом аудита в пакете tcp.

filter f_audit { facility(13); }; 
filter f_audit2 {facility(security);}; 

destination d_local_facility { 
    file("/var/log/$FACILITY/$FACILITY.log"); 


destination d_remote_loghost { tcp("$hostname" port(514)); }; 

log { 
    source(s_local); 
    destination(d_remote_loghost5); 

}; 

Что я делаю неправильно?

Answer 1

У вас должно быть configure a file source in syslog-ng, которое читает файл /var/log/audit/audit.log и включает этот источник в оператор журнала. Я не вижу этого в вашем файле конфигурации.

BTW, syslog-ng версия 1.6 является древней за пределами слов. syslog-ng 3.7 может parse auditd logs to extract information, поэтому вы можете обновить его. Вы можете найти некоторые пакеты SLES для syslog-ng по адресу https://syslog-ng.org/3rd-party-binaries/

Answer 2

В SLES 10 я наконец использовал скрипт при загрузке. Файл after.local является эквивалентом rc.local

Так, в /etc/init.d/after.local:

поЬир/USR/бен/tailf/вар/Журнал/аудит/аудит. log |/bin/logger -t audispd -p local6.info &

Его проще в SLES 11, поскольку диспетчер auditspd существует.