Configuramos o registro centralizado de mensagens auditadas para duas máquinas:
- máquina (www22.domain.com) é a fonte (centos8)
- machine (cls.domain.com) é o servidor de log centralizado (centos7)
Isso foi feito da maneira padrão usando o plugin auditd+audisp enviando para o servidor auditd escutando na porta 60, por exemplo, como descrito aqui:
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
Mas quando observo o log de auditoria no servidor de log centralizado após reiniciar o cliente auditd na origem, a única coisa que aparece são as linhas
node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success
onde ::ffff:xyz152 é obviamente devido a alguns pacotes do endereço IP xyx152 (endereço www22.domain.com). Assim, a conexão TCP entre cliente-servidor é estabelecida e parece que mais registros de mensagens devem funcionar.
Mas então as únicas novas linhas que aparecem no arquivo de log são aquelas originadas em cls.domain.com. Nunca há mensagens de auditoria de www22.domain.com.
Verifiquei o que acontece se auditd www22.domain.com estiver configurado para gravar também no arquivo de log de auditoria local; então o arquivo local recebe muitas mensagens da auditoria. Mas ainda assim nada é enviado pela rede.
Como garantir que o cliente auditd envie as mesmas mensagens pela rede?
Responder1
Acontece que o cliente tinha configuração
formato = ascii
no arquivo audisp-remote.conf. Eu mudei isso para
formato = gerenciado
Depois de reiniciar o cliente auditd, os logs começaram a ser enviados e recebidos no servidor de log centralizado.