Wir haben die zentrale Protokollierung von Auditd-Meldungen für zwei Maschinen eingerichtet:
- Maschine (www22.domain.com) ist die Quelle (centos8)
- Maschine (cls.domain.com) ist der zentrale Protokollserver (centos7)
Dies wurde auf die Standardweise durchgeführt, indem das Plug-In auditd+audisp verwendet wurde, das an den Auditd-Server sendete, der auf Port 60 lauschte, z. B. wie hier beschrieben:
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
Wenn ich dann aber nach dem Neustart des auditd-Clients auf der Quelle das Audit-Protokoll auf dem zentralisierten Protokollserver beobachte, werden nur die Zeilen angezeigt
node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success
wobei ::ffff:xyz152 offensichtlich auf ein oder mehrere Pakete von der IP-Adresse xyx152 (Adresse von www22.domain.com) zurückzuführen ist. Somit wird die TCP-Verbindung zwischen Client und Server hergestellt und es scheint, dass die weitere Nachrichtenprotokollierung funktionieren sollte.
In der Protokolldatei erscheinen dann aber nur die neuen Zeilen, die von cls.domain.com stammen. Von www22.domain.com gibt es nie Prüfmeldungen.
Ich habe geprüft, was passiert, wenn auditd www22.domain.com so eingerichtet ist, dass es auch in die lokale Audit-Protokolldatei schreibt. Dann erhält die lokale Datei viele Nachrichten vom Audit. Aber es wird immer noch nichts über das Netzwerk gesendet.
Wie stellt man sicher, dass der Auditd-Client dieselben Nachrichten über das Netzwerk sendet?
Antwort1
Es stellte sich heraus, dass der Client die Einstellung
Format = ASCII
in der Datei audisp-remote.conf. Ich habe dies geändert in
Format = verwaltet
Nachdem ich den Auditd-Client neu gestartet hatte, wurden Protokolle an den zentralen Protokollserver gesendet und dort empfangen.