저는 Debian 11 서버를 사용하고 있으며 감사 로그는 /var/log/audit/audit.log 및 /var/log/auth.log에 저장됩니다. 그들은 내 auth.log를 작성하고 있는데 실제로 거기 있어서는 안 됩니다. 내 구성의 관련 부분은 다음과 같습니다.
/etc/rsyslog.conf
kern.debug /var/log/kern.log
daemon.* /var/log/daemon.log
*.info;cron,auth,authpriv.none /var/log/syslog
cron.* /var/log/cron.log
user.* /var/log/user.log
auth,authpriv.* /var/log/auth.log
/etc/audit/auditd.conf
log_file = /var/log/audit.log
나는 여기서 약간 헤매고 있습니다. /var/log/audit/audit.log에만 감사 로그를 보내려면 어떻게 해야 합니까?
답변1
감사 로그에는 인증 및 권한 부여와 관련된 정보가 포함되어 인증 도구로 전송됩니다. 이는 다음 줄을 사용하는 것을 의미합니다 /etc/rsyslog.conf.
auth,authpriv.* /var/log/auth.log
..그들도 결국 들어가게 된다 /var/log/auth.log.
이러한 일이 발생하지 않도록 하려면 다음 행을 에 추가하여 감사 로그를 리디렉션할 수 있습니다 /etc/rsyslog.conf.
audit.* /var/log/audit/audit.log
이렇게 하면 감사 도구의 모든 로그가 로 리디렉션됩니다 /var/log/audit/audit.log.
이는 /var/log/audit/audit.log감사 데몬의 기본 로그 파일입니다. 그런데 /etc/audit/auditd.conf로그인 정보를 로 수정하신 것 같습니다 /var/log/audit.log. 의도한 것인지 오타인지는 잘 모르겠습니다. 그럼에도 불구하고 두 개의 별도 로그 파일을 사용할 수 있습니다.