Auditar as configurações do recurso de plug-in do syslog
O plug-in do Audisp enviará dados auditd para o syslog por padrão para o recurso user
. Você pode mudar isso no entanto.
cat /etc/audisp/plugins.d/syslog.conf
# This file controls the configuration of the syslog plugin.
# It simply takes events and writes them to syslog. The
# arguments provided can be the default priority that you
# want the events written with. And optionally, you can give
# a second argument indicating the facility that you want events
# logged to. Valid options are LOG_LOCAL0 through 7, LOG_AUTH,
# LOG_AUTHPRIV, LOG_DAEMON, LOG_SYSLOG, and LOG_USER.
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
A chave está sendo Valid options are LOG_LOCAL0 through 7
para que você possa ajustar isso às suas necessidades. No meu sistema, elas são as configurações padrão acima e recebo mensagens auditadas nos logs user
facility.