Usando o RHEL6, atualmente tenho a configuração audispd para enviar logs para um servidor remoto. O servidor remoto recebe com êxito as mensagens e as grava no log de auditoria remoto. Meu problema é, eu não consigo fazer com que as mensagens encaminhadas (as locais funcionam) sejam processadas pelo audispd e gravadas no rsyslog.
Isso não funciona. box1 auditd === > box1 audispd === > box2 auditd XXX > box2 audispd XXX > box2 rsyslog
Isso faz. box2 auditd === > box2 audispd === > box2 rsyslog
Eu geralmente sei como configurar o audispd para enviar logs locais para o rsyslog, mas os logs encaminhados não vão para o rsyslog. Os X's acima mostram onde o tráfego não está chegando ao seu destino.
Não estou procurando usar o imfile ou outras soluções alternativas, a menos que não seja possível enviar mensagens encaminhadas por meio do audispd na caixa2. Eu sei que posso enviar para o rsyslog na caixa 1, mas é minha intenção não fazer isso.