필수 규칙을 사용하여 두 RHEL 서버 모두에 감사를 구성했습니다. 감사 로그가 예상한 대로입니다. 쉽게 분석할 수 있도록 이 로그를 중앙 서버로 전달하고 싶습니다. 이 링크에 언급된 두 가지 방법을 모두 시도했습니다. Red Hat Enterprise의 원격 로그 서버에 감사 로그 보내기
방법 1의 문제점(원격 Auditd 서버로 전송): 모든 클라이언트의 로그가 단일 파일에 추가됩니다. 각 고객에 대해 별도의 보고서를 얻을 수 없습니다.
방법 2의 문제점(원격 syslog 서버로 전송): 서버 측 로그의 줄 시작 부분에 추가 단어가 있습니다. 이는 클라이언트의 실제 감사 로그에 추가됩니다.
"1월 12일 16:38:22 MahineName audispd: 노드 = MahineName"유형=USER_TTY msg=감사(1484257088.191:1486822)
따라서 aureport는 이러한 로그를 구문 분석할 수 없으며 0개의 이벤트를 표시합니다.
모든 클라이언트의 모든 감사 로그를 개별적으로 수집하고 이러한 로그에 대해 오렙틱을 실행하는 올바른 방법을 제안하십시오.
운영 체제: RHEL 6
답변1
"노드"별로 aureport를 필터링하는 옵션이 있습니다. 이것은 나에게 도움이 될 것입니다
--node node-name
Only select events originating from node name string for processing in the reports. The default is to include all nodes. Multiple nodes are allowed.