Edit: 11/17/14
Esta resposta ainda pode funcionar, mas em 2014, usando o plug-in Audisp é a melhor resposta.
Se você estiver executando o servidor syslog ksyslogd, não sei como fazer isso. Mas há ótimas instruções para fazer isso com o rsyslog em seu Wiki . ( link )
Vou resumir:
-
No cliente de envio (
rsyslog.conf
):#
auditd audit.log $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitorObserve que o módulo
imfile
precisará ser carregado anteriormente na configuração do rsyslog. Esta é a linha responsável por isso:$ModLoad imfile
Portanto, verifique se está no arquivo
rsyslog.conf
. Se não estiver lá, adicione-o na seção### MODULES ###
para ativar este módulo; caso contrário, a configuração acima para o log de auditoria não funcionará. -
No servidor de recebimento (
rsyslog.conf
):$template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" local6.*
Reinicie o serviço ( service rsyslog restart
) nos dois hosts e você deve começar a receber auditd
messages.