试图通过syslog只转发我审计的事件,但我不知道使用哪个设施。 我不想把所有东西都发送到我的系统日志服务器,因为它会在日志中创build冗余。 我已经将audispd syslog插件设置为活动状态,并且据我所知,应该使auditd使用syslog来logging事件。 现在我所要做的就是为auditd的事件设置正确的工具,以转发到我的日志logging服务器。
请让我知道,如果我错了如何做到这一点。 *我正在CentOS 7上试一试
审核到系统日志插件设施设置
Audisp插件默认发送审计数据到系统日志到user设施。 你可以改变这个。
cat /etc/audisp/plugins.d/syslog.conf # This file controls the configuration of the syslog plugin. # It simply takes events and writes them to syslog. The # arguments provided can be the default priority that you # want the events written with. And optionally, you can give # a second argument indicating the facility that you want events # logged to. Valid options are LOG_LOCAL0 through 7, LOG_AUTH, # LOG_AUTHPRIV, LOG_DAEMON, LOG_SYSLOG, and LOG_USER. active = yes direction = out path = builtin_syslog type = builtin args = LOG_INFO format = string
Valid options are LOG_LOCAL0 through 7的关键Valid options are LOG_LOCAL0 through 7所以你可以根据你的需要进行调整。 在我的系统上,他们是上述默认设置,我在user设施日志中获得审核消息。