この短いメモでは、CentOS/RHEL 6、7 サーバー上のリモート rsyslog サーバーに監査ログを送信する手順について説明します。
サーバー側の設定
次の手順を実行して、syslog サーバーをセットアップします。
1. 「MODULES」の次の行のコメントを外します。 ‘ /etc/rsyslog.conf のセクション :
# vi /etc/rsyslog.conf $ModLoad imtcp $InputTCPServerRun 514
UDP を使用している場合は、次の行のコメントを外してください:
# vi /etc/rsyslog.conf $ModLoad imudp $UDPServerRun 514
2. クライアントから rsyslog イベントを受信するように rsyslog サーバーを構成します。クライアント サーバーから監査ログを受信するには、/etc/rsyslog.conf ファイルに次の行を追加します。
# vi /etc/rsyslog.conf $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" local6.* ?HostAudit
3. rsyslog サービスを再起動します。
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7
クライアント側の構成
1. 既存の /etc/rsyslog.conf のバックアップを取ります。
# cp /etc/rsyslog.conf /etc/rsyslog.conf.bkp
2. ログを中央の rsyslog サーバーに送信するために、次のルールを /etc/rsyslog.conf ファイルに追加します。 「イムファイル 」モジュールを rsyslogd にロードする必要があります。そうしないと、auditd ログを送信するための構成が機能しません。
# vi /etc/rsyslog.conf #audit log $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor *.* @[serverip] ### Add rsyslog server IP here
@[serverip] を rsyslog サーバーの IP アドレスに置き換えてください。
3. 変更を有効にするために rsyslog サービスを再起動します。
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7