특정 이벤트를 기록하도록 구성된 감사 규칙이 있는 RHEL 서버가 있습니다. 이 로그를 원격 syslog 서버로 전달하고 싶습니다. 이러한 특정 로그를 전달할 수 있는 방법을 찾을 수 없어서 원격 syslog 서버의 /var/log가 꽉 차는 경우가 많기 때문에 모든 감사 로그를 원격 서버로 전달하도록 구성했습니다. 이 문제를 해결하는 방법에는 두 가지가 있지만 어느 쪽에서도 기술적인 해결책을 찾을 수 없습니다.
- 해당 특정 규칙에 대한 이벤트를 별도의 로그 파일에 기록하거나 가능한 경우 원격 syslog 서버에 직접 기록합니다.
- 특정 규칙에 의해 생성된 감사 로그만 원격 syslog 서버로 전달
다른 솔루션도 높이 평가됩니다.
답변1
RH입니다해결책(계정 필요):
audisp-syslog 플러그인 설치
[root@r88 ~]# dnf install audispd-plugins
[root@r88 ~]# vi /etc/audit/plugins.d/syslog.conf
active = yes
args = LOG_INFO LOG_LOCAL3
시스템 로그 구성 /etc/rsyslog.conf를 편집하고 local3.info를 보내는 행을 추가합니다.
[root@client ~]# vi /etc/rsyslog.conf
#[..]
local3.info @remote.syslog.example.com
local3.info stop
syslog 데몬 및 감사 서비스를 다시 시작합니다.