Linux(debian) 시스템에 요청으로 인해 과부하가 발생한 것으로 보이는 NFS 서버가 있습니다. 문제를 확인하기 위해 auditd/auditctl을 사용하여 NFS 서버에서 내보낸 파티션에서 액세스되는 파일을 모니터링해 보았습니다.
문제는 auditd가 /var/log/auditd/auditd.log에 로그를 기록하지 못하게 하는 디스크 또는 nfs 문제가 있다는 것입니다.
나에게 정말로 필요한 것은 모든 로그를 로컬 파일이 아닌 다른 곳으로 보내는 것입니다.
모든 로그를 192.168.1.1에서 192.168.1.2로 리디렉션할 수 있나요(네트워크는 제대로 작동하고 있나요)?
답변1
귀하의 질문을 표현한 방식에 따르면 귀하가 Linux를 사용하고 있다고 가정합니다. 그렇다면 audisp-remote 및 audispd를 확인하십시오. 이는 Linux에서 현재 감사 도구의 표준 구성 요소입니다.
답변2
auditd에서 로그 파일을 설정할 수 있습니다 /etc/auditd.conf. 네트워크 자체를 통해 로그를 보내 도록 할 수는 없지만 auditd다른 원격 파일 시스템(예: sshfs)에 있는 파일로 보낼 수는 있습니다.