解決策 1:
最も安全で正しい方法は、audispd syslog プラグインおよび/または audisp-remote を使用することです。
/etc/audisp/plugins.d/syslog.conf を編集してすばやく動作させる . RHEL にはデフォルトでこれが含まれていますが、無効になっています。有効にするには、1 行変更するだけです。active =yes .
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
しかし、これはデフォルトではあまり安全ではありません。 syslog は、基本的に暗号化も認証もされていない安全でないプロトコルであり、元の UDP 仕様では完全に信頼できません。また、安全でないファイルに多くの情報を保存します。 Linux 監査システムは、通常 syslog に送信されるよりも機密性の高い情報を処理するため、分離されています。 audisp-remote は Kerberos 認証と暗号化も提供するため、安全なトランスポートとして機能します。 audisp-remote を使用すると、中央の syslog サーバーで実行されている audisp-remote サーバーに audispd を使用して監査メッセージを送信できます。次に、audisp-remote は audispd syslog プラグインを使用して、それらを syslog dameon にフィードします。
しかし、他の方法があります! rsyslog は非常に堅牢です。 rsyslog は、Kerberos 暗号化と TLS も提供します。安全に構成されていることを確認してください。
解決策 2:
編集:11/17/14
この回答はまだ機能する可能性がありますが、2014 年には、Audisp プラグインを使用する方が適切な回答です。
ストック ksyslogd syslog サーバーを実行している場合、これを行う方法がわかりません。しかし、彼らの Wiki には、rsyslog でそれを行うための優れた手順があります。 ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )
要約します:
-
送信側クライアント (
rsyslog.conf):#auditd audit.log $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitorimfileに注意してください モジュールは、rsyslog 構成で以前にロードされている必要があります。これはその責任のある行です:$ModLoad imfile
rsyslog.confにあるかどうかを確認してください ファイル。そこにない場合は、### MODULES ###の下に追加します このモジュールを有効にするセクション。そうしないと、上記の auditd ログの構成が機能しません。 -
受信サーバー (
rsyslog.conf):$template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" local6.*
サービスを再起動します (service rsyslog restart ) 両方のホストで auditd を受け取り始めるはずです メッセージ。
解決策 3:
audisp を使用して syslog に直接ログを記録できます。これは Audit パッケージの一部です。 Debian の場合 (他のディストリビューションではまだ試していません)、次のように編集します:
/etc/audisp/plugins.d/syslog.conf
active=yes を設定します .