2 台のマシンに対して、auditd メッセージの集中ログを設定しました。
- マシン(www22.domain.com)はソース(centos8)です
- マシン (cls.domain.com) は集中ログサーバー (centos7) です
これは、auditd+audisp プラグインを使用して、ポート 60 でリッスンしている Auditd サーバーに送信する標準的な方法で実行されました。たとえば、次のように記述されています。
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
しかし、ソースでauditdクライアントを再起動した後、集中ログサーバー上の監査ログを観察すると、表示されるのは次の行だけです。
node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success
ここで、::ffff:xyz152 は明らかに IP アドレス xyx152 (www22.domain.com のアドレス) からのパケットによるものです。したがって、クライアントとサーバー間の TCP 接続が確立され、さらにメッセージのログ記録が機能するはずです。
しかし、ログ ファイルに表示される新しい行は、cls.domain.com で発生した行だけです。www22.domain.com からの監査メッセージは存在しません。
私は、auditd www22.domain.com がローカル監査ログ ファイルにも書き込むように設定されている場合、何が起こるかを確認しました。その場合、ローカル ファイルは監査から多くのメッセージを受け取ります。しかし、それでもネットワーク経由では何も送信されません。
監査クライアントがネットワーク経由で同じメッセージを送信していることを確認するにはどうすればよいですか?
答え1
クライアントが設定していたことが判明
フォーマット = ASCII
audisp-remote.confファイルでこれを変更しました
フォーマット = 管理
Auditd クライアントを再起動すると、集中ログ サーバーでログの送受信が開始されました。