Auditd no envía registros al servidor de registros auditado centralizado

Auditd no envía registros al servidor de registros auditado centralizado

Hemos configurado un registro centralizado de mensajes auditados para dos máquinas:

  • la máquina (www22.domain.com) es la fuente (centos8)
  • la máquina (cls.domain.com) es el servidor de registro centralizado (centos7)

Esto se hizo de forma estándar utilizando el envío del complemento auditd+audisp al servidor auditd que escucha en el puerto 60, por ejemplo, como se describe aquí:

https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/

Pero luego, cuando observo el registro de auditoría en el servidor de registro centralizado después de reiniciar el cliente auditado en la fuente, lo único que aparece son las líneas

node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success

donde ::ffff:xyz152 se debe obviamente a algunos paquetes de la dirección IP xyx152 (dirección de www22.domain.com). Entonces se establece la conexión TCP entre cliente-servidor y parece que debería funcionar un registro adicional de mensajes.

Pero las únicas líneas nuevas que aparecen en el archivo de registro son las que se originan en cls.domain.com. Nunca hay mensajes de auditoría de www22.dominio.com.

He comprobado qué sucede si www22.domain.com auditado está configurado para escribir también en el archivo de registro de auditoría local; entonces el archivo local recibe muchos mensajes de auditoría. Pero todavía no se envía nada a través de la red.

¿Cómo asegurarse de que el cliente auditado envíe los mismos mensajes a través de la red?

Respuesta1

Resulta que el cliente tenía configuración

formato = ascii

en el archivo audisp-remote.conf. He cambiado esto a

formato = administrado

Después de reiniciar el cliente auditd, los registros comenzaron a enviarse y recibirse en el servidor de registros centralizado.

información relacionada