我想build立一个中央日志服务器。 日志服务器在debian 6.0.6下运行,审计守护进程在1.7.13-1版本中安装。
客户端使用Red Hat 5.5运行,并通过audispd连接到日志服务器。 连接工作正常,我得到每个节点的所有消息。
我的问题是:日志服务器的auditd守护进程是否有可能将来自每个节点的消息写入单独的文件?
我尝试通过syslog守护进程传输消息,这工作,但我不能使用像ausearch这样的工具来分析这些日志文件。
你可以很容易地做到这一点与rsyslog
$template DynFile,"/var/log/%HOSTNAME%/%programname%.log"