Estou assumindo que você está no Linux ao formular sua pergunta. Se for esse o caso, então sim, olhe audisp-remote e audispd. Estes são componentes padrão nas atuais ferramentas de auditoria no Linux.
Em uma caixa Linux (Debian), tenho um servidor NFS que parece estar sobrecarregado por solicitações. Para identificar o problema, estou tentando monitorar com arquivos auditd / auditctl acessados na partição exportada pelo servidor NFS.
O problema é que nosso problema de disco ou nfs impede que o auditd grave logs em /var/log/auditd/auditd.log.
O que eu realmente preciso é enviar todos os logs para outro lugar que não em um arquivo local.
Posso simplesmente redirecionar todos os logs de 192.168.1.1 para 192.168.1.2 (a rede está funcionando corretamente)?
Você pode definir o arquivo de log auditd
em /etc/auditd.conf
. Você não pode fazer com que o próprio auditd
envie logs pela rede, mas você pode direcioná-lo para um arquivo que esteja em algum outro sistema de arquivos remoto como o sshfs.
Tags monitoring nfs logs