두 시스템에 대한 auditd 메시지의 중앙 집중식 로깅을 설정했습니다.
- 머신(www22.domain.com)이 소스(centos8)입니다.
- 머신(cls.domain.com)은 중앙 집중식 로그 서버(centos7)입니다.
이는 포트 60에서 수신 대기하는 auditd 서버로 전송하는 auditd+audisp 플러그인을 사용하여 표준 방식으로 수행되었습니다. 예를 들어 여기에 설명된 것과 같습니다.
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
그런데 소스에서 auditd 클라이언트를 다시 시작한 후 중앙 로그 서버에서 감사 로그를 관찰하면 나타나는 유일한 줄은 다음과 같습니다.
node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success
여기서 ::ffff:xyz152는 분명히 IP 주소 xyx152(www22.domain.com 주소)의 일부 패킷으로 인해 발생합니다. 따라서 클라이언트-서버 간의 TCP 연결이 설정되고 추가 메시지 로깅이 작동해야 하는 것 같습니다.
그러나 로그 파일에 나타나는 유일한 새 줄은 cls.domain.com에서 발생한 줄입니다. www22.domain.com에서는 감사 메시지가 없습니다.
auditd www22.domain.com이 로컬 감사 로그 파일에도 쓰도록 설정되면 어떤 일이 발생하는지 확인했습니다. 그러면 로컬 파일은 감사로부터 많은 메시지를 받습니다. 그러나 여전히 네트워크를 통해 아무 것도 전송되지 않습니다.
auditd 클라이언트가 네트워크를 통해 동일한 메시지를 보내는지 확인하는 방법은 무엇입니까?
답변1
클라이언트가 설정을 가지고 있는 것으로 나타났습니다.
형식 = 아스키
audisp-remote.conf 파일에 있습니다. 나는 이것을 다음과 같이 변경했습니다.
형식 = 관리됨
auditd 클라이언트를 다시 시작한 후 중앙 로그 서버에서 로그가 송수신되기 시작했습니다.