Não tenho certeza se tudo aqui é necessário para ter sucesso. No entanto, esta é uma configuração que funciona para que eu possa receber logs do Linux Audit com um netcat no FreeBSD.
-
CentOS:
/etc/audisp/audisp-remote.conf
:remote_server = 192.168.56.1 port = 60 local_port = 60 transport = tcp mode = immediate queue_depth = 200 format = managed
-
CentOS:
/etc/audisp/plugins.d/au-remote.conf
:active = yes direction = out path = /sbin/audisp-remote type = always args = /etc/audisp/audisp-remote.conf format = string
-
CentOS:
/etc/audit/auditd.conf
:local_events = yes log_file = /var/log/audit/audit.log # Send logs to the server. Don't save them. write_logs = no log_format = RAW log_group = root priority_boost = 8 num_logs = 5 disp_qos = lossy dispatcher = /sbin/audispd name_format = hostname max_log_file = 6 max_log_file_action = ROTATE action_mail_acct = root space_left = 75 space_left_action = SYSLOG admin_space_left = 50 admin_space_left_action = SUSPEND disk_full_action = SUSPEND disk_error_action = SUSPEND ##tcp_listen_port = tcp_listen_queue = 5 tcp_max_per_addr = 1 use_libwrap = yes ##tcp_client_ports = 1024-65535 tcp_client_max_idle = 0 enable_krb5 = no krb5_principal = auditd ##krb5_key_file = /etc/audit/audit.key distribute_network = no
-
FreeBSD:
/etc/hosts.allow
:ALL : ALL : allow
Eu não sei se isso é necessário embora + possa ser uma má ideia.
É isso. Agora você só precisa executar nc -lk 60
no FreeBSD e service auditd restart
no CentOS. No meu caso, no entanto, o netcat parece estar recebendo / imprimindo cada registro pelo menos duas vezes, o que parece bastante incomum.