Existe uma opção para filtrar o aureport por 'node'. Isso deve funcionar para mim
--node node-name
Only select events originating from node name string for processing in the reports. The default is to include all nodes. Multiple nodes are allowed.
Eu configurei o auditd em dois servidores RHEL com regras obrigatórias. Os logs de auditoria são os esperados. Eu quero encaminhar esses logs para um servidor central para que a análise seja fácil. Eu tentei as duas abordagens mencionadas neste link Envie logs de auditoria para um servidor de log remoto no Red Hat Enterprise
Problema com a abordagem 1 (Enviar para um servidor auditd remoto): Os logs de todos os clientes são anexados a um único arquivo. Não consigo obter relatórios separados para cada cliente.
Problema com a abordagem 2 (Enviar para um servidor syslog remoto): Os logs no lado do servidor possuem palavras extras no início da linha. Estes são adicionados ao registro auditd real do cliente
"Jan 12 16:38:22 MahineName audispd: node= MahineName “type=USER_TTY msg=audit(1484257088.191:1486822)
Devido a isso, o aureport não é capaz de analisar esses logs e mostrar zero eventos.
Por favor, sugira uma abordagem adequada para coletar todos os registros de auditoria separadamente de todos os clientes e executar um aportport sobre estes
SO: RHEL 6
Existe uma opção para filtrar o aureport por 'node'. Isso deve funcionar para mim
--node node-name
Only select events originating from node name string for processing in the reports. The default is to include all nodes. Multiple nodes are allowed.
Tags rsyslog rhel linux-audit