Como visualizar logs de auditoria no servidor nfs

Navegue suas respostas
0

Estou tentando fazer um compartilhamento do nfs. Eu configurei o compartilhamento.

Agora quero ver os logs associados aos arquivos no compartilhamento nfs.

Eu criei um servidor de log centralizado. Eu não sei a diferença entre o rsyslog centralizado e o log de auditoria centralizado. Então eu criei os dois.

Eu criei o servidor rsyslog central usando o seguinte link:

link

E criei o servidor de registro de auditoria central usando o seguinte link:

link

Eu preciso ver os registros de auditoria no servidor.

Eu preciso dos logs do servidor e do cliente combinados.

Eu criei a mesma chave 'NFS' no servidor e no cliente, para o arquivo a ser monitorado no log de auditoria.

Mas quando faço ausearch -k NFS -i no servidor, obtenho apenas os logs associados ao servidor e não consegui encontrar nenhum registro da máquina cliente.

Como posso fazer isso?

Sou um novato no Linux. Por favor me ajude.

Obrigado. :)

Editar1

A seguir estão as etapas em minhas configurações para o nfs:

Servidor NFS: 

sudo apt-get install nfs-kernel-server

sudo mkdir /var/nfs/general

sudo nano /etc/exports

  /var/nfs/general *(rw,sync,no_root_squash,no_subtree_check)

sudo exportfs -a

sudo service nfs-kernel-server start

Cliente NFS: 

sudo apt-get install nfs-common

sudo mount 172.21.215.101:/var/nfs/general /mnt

Edit2

A seguir estão as configurações dos logs de auditoria 

sudo apt-get auditd audispd-plugins

No lado do servidor: 

sudo apt-get install firewalld
sudo service firewalld start
sudo firewall-cmd --zone=public --add-port=60/tcp --permanent

sudo nano /etc/audit/auditd.conf
     tcp_listen_port = 60

sudo service auditd restart

No lado do cliente: 

nano /etc/audisp/audisp-remote.conf
    remote_server = 172.21.215.101
    port = 60

nano /etc/audisp/plugins.d/au-remote.conf
    active = yes

sudo service auditd restart

Editar3

Configuração do Rsyslog:

No lado do servidor: 

cp /etc/rsyslog.conf /etc/rsyslog.conf.orig

nano /etc/rsyslog.conf

descomentou o tcp e o udp 

[...]
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
[...]
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
[...]

nano /etc/rsyslog.d/tmpl.conf
    $template TmplAuth, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
    $template TmplMsg, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"

    authpriv.* ?TmplAuth
    *.info;mail.none;authpriv.none;cron.none ?TmplMsg

sudo ufw allow 514/tcp
sudo ufw allow 514/udp

sudo ufw reload

systemctl restart rsyslog

No lado do cliente: 

cp /etc/rsyslog.conf /etc/rsyslog.conf.orig

nano /etc/rsyslog.conf
    [...]
    ##RULES## 
    *.* @192.168.164.78:514
    [...]

systemctl restart rsyslog
    
por Lublaut 18.06.2018 / 12:04

0 respostas

Tags

Powerline DHP-P308AV - Não está funcionando? Sempre exibir para / cc / bcc endereços de e-mail ao redigir novos e-mails no Outlook