rsyslog 문서는 매우 불분명합니다. 감사 로그의 오류를 원격 rsyslog 서버로 전달하고 싶습니다. 예제에서는 다음을 보여줍니다.
# auditd audit.log
$InputFileName /var/log/audit/audit.log
$InputFileTag tag_audit_log:
$InputFileStateFile audit_log
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor
"InputFileSeverity"를 정보로 설정하면 감사 로그의 모든 항목이 정보(오류 포함)로 표시된다는 의미입니까? 또는 "오류"로 설정하면 정보를 포함한 모든 항목이 오류 수준으로 표시된다는 의미입니까?
전달된 오류만 보고 싶습니다. 이 간단한 구성을 설정하는 방법에 대한 기본 메커니즘이 정말 누락된 것 같습니다.
답변1
rsyslog의 텍스트 파일 입력 모듈을 사용한다고 가정하면, InputFileSeverity 매개변수는 audit.log 파일에 캡처된 메시지의 심각도가 아니라 rsyslog에 저장되는 심각도를 정의합니다. 파일 입력 모듈은 사용자를 필터링하지 않습니다. audit.log 파일에서 "오류" 수준 심각도만 캡처하도록 auditd를 구성한 다음, inputfileseverity를 error로 설정하면 rsyslog는 오류 수준 심각도에서 audit.log의 오류를 캡처합니다.