Como posso encaminhar apenas erros do log de auditoria para o servidor rsyslog?

Question

Como posso encaminhar apenas erros do log de auditoria para o servidor rsyslog?

#1 resposta do (1 votos)

0

A documentação do rsyslog é muito pouco clara. Desejo encaminhar apenas erros do log de auditoria para o servidor rsyslog remoto. Os exemplos mostram:

# auditd audit.log  
$InputFileName /var/log/audit/audit.log  
$InputFileTag tag_audit_log:  
$InputFileStateFile audit_log  
$InputFileSeverity info  
$InputFileFacility local6  
$InputRunFileMonitor

Com "InputFileSeverity" definido como info, isso significa que TODAS as entradas no log de auditoria serão exibidas como informações, incluindo erros? Ou se eu configurá-lo para "erro" isso significa que todas as entradas, incluindo informações, aparecerão como nível de erro?

Eu só quero ver os erros encaminhados. Sinto que realmente sinto falta da mecânica subjacente de como configurar essa configuração simples.

rsyslog linux-audit

por Ronaldo Nascimento 27.08.2015 / 18:00

1 resposta

Tags rsyslog linux-audit

SSH para 2 máquinas locais via servidor Unix Configuração de auditoria

score 1 · Answer 1

Supondo que você esteja usando o módulo de entrada de arquivo de texto para rsyslog, o parâmetro InputFileSeverity define a gravidade armazenada em rsyslog, NÃO a gravidade das mensagens capturadas no arquivo audit.log. O módulo de entrada de arquivo não filtra para você. Você deve configurar o auditd para capturar apenas a gravidade do nível de "erro" no arquivo audit.log e, em seguida, configurar a entrada inputfileseverity para o erro, e os erros do audit.log serão capturados pelo rsyslog na gravidade do nível de erro.