Encaminhar o Auditd registra em um servidor e analisa usando o aureport

0

Eu configurei o auditd em dois servidores RHEL com regras obrigatórias. Os logs de auditoria são os esperados. Eu quero encaminhar esses logs para um servidor central para que a análise seja fácil. Eu tentei as duas abordagens mencionadas neste link Envie logs de auditoria para um servidor de log remoto no Red Hat Enterprise

Problema com a abordagem 1 (Enviar para um servidor auditd remoto): Os logs de todos os clientes são anexados a um único arquivo. Não consigo obter relatórios separados para cada cliente.

Problema com a abordagem 2 (Enviar para um servidor syslog remoto): Os logs no lado do servidor possuem palavras extras no início da linha. Estes são adicionados ao registro auditd real do cliente

"Jan 12 16:38:22 MahineName audispd: node= MahineName “type=USER_TTY msg=audit(1484257088.191:1486822)

Devido a isso, o aureport não é capaz de analisar esses logs e mostrar zero eventos.

Por favor, sugira uma abordagem adequada para coletar todos os registros de auditoria separadamente de todos os clientes e executar um aportport sobre estes

SO: RHEL 6

    
por Sravan 12.01.2017 / 22:53

1 resposta

0

Existe uma opção para filtrar o aureport por 'node'. Isso deve funcionar para mim

aureport

--node node-name
Only select events originating from node name string for processing in the reports. The default is to include all nodes. Multiple nodes are allowed. 
    
por 22.01.2017 / 23:28