Posso enviar logs auditd para outro computador?

3

Em uma caixa Linux (Debian), tenho um servidor NFS que parece estar sobrecarregado por solicitações. Para identificar o problema, estou tentando monitorar com arquivos auditd / auditctl acessados na partição exportada pelo servidor NFS.

O problema é que nosso problema de disco ou nfs impede que o auditd grave logs em /var/log/auditd/auditd.log.

O que eu realmente preciso é enviar todos os logs para outro lugar que não em um arquivo local.

Posso simplesmente redirecionar todos os logs de 192.168.1.1 para 192.168.1.2 (a rede está funcionando corretamente)?

    
por ascobol 13.02.2012 / 15:35

2 respostas

4

Estou assumindo que você está no Linux ao formular sua pergunta. Se for esse o caso, então sim, olhe audisp-remote e audispd. Estes são componentes padrão nas atuais ferramentas de auditoria no Linux.

    
por 13.02.2012 / 18:15
1

Você pode definir o arquivo de log auditd em /etc/auditd.conf . Você não pode fazer com que o próprio auditd envie logs pela rede, mas você pode direcioná-lo para um arquivo que esteja em algum outro sistema de arquivos remoto como o sshfs.

    
por 14.02.2012 / 08:52