O que é o recurso syslog para logs auditd?

2

Tentando encaminhar apenas meus eventos auditd por syslog, mas não sei qual facilidade usar. Eu não quero enviar tudo para o meu servidor syslog, pois criaria redundância no log. Eu configurei o plug-in syslog audispd para ativo e, pelo que entendi, isso deve fazer com que o uso do syslog seja auditado para registrar os eventos. Agora tudo o que tenho a fazer é definir o recurso correto para os eventos do auditd para encaminhar para o meu servidor de log.

Por favor, deixe-me saber se estou enganado sobre como isso deve ser feito. * Estou tentando isso em uma caixa do CentOS 7

    
por Jack 29.07.2016 / 18:22

2 respostas

2

Auditar as configurações do recurso de plug-in do syslog

O plug-in do Audisp enviará dados auditd para o syslog por padrão para o recurso user . Você pode mudar isso no entanto.

cat /etc/audisp/plugins.d/syslog.conf
# This file controls the configuration of the syslog plugin.
# It simply takes events and writes them to syslog. The
# arguments provided can be the default priority that you
# want the events written with. And optionally, you can give
# a second argument indicating the facility that you want events
# logged to. Valid options are LOG_LOCAL0 through 7, LOG_AUTH,
# LOG_AUTHPRIV, LOG_DAEMON, LOG_SYSLOG, and LOG_USER.

active = yes
direction = out
path = builtin_syslog
type = builtin 
args = LOG_INFO
format = string

A chave está sendo Valid options are LOG_LOCAL0 through 7 para que você possa ajustar isso às suas necessidades. No meu sistema, elas são as configurações padrão acima e recebo mensagens auditadas nos logs user facility.

    
por 29.07.2016 / 21:00
0

Eu estava confuso sobre a chave e valor neste arquivo, então aqui está uma configuração de trabalho para mim: (sistema utilizado: Ubuntu 16.04) /etc/audisp/plugins.d/syslog.conf

active = yes
direction = out
path = builtin_syslog
type = builtin 
args = LOG_LOCAL6    #send log to local6 facility

Edite a configuração do rsyslog para salvar o log de auditoria

/etc/rsyslog.d/50-default.conf
local6.*     @@192.168.8.147:6161    #send local6 log to central log server listening on tcp port 6161

# To save local6 to file
local6.*    /tmp/auditd.log
    
por 29.11.2017 / 07:13