我們為兩台機器設定了auditd訊息的集中日誌記錄:
- 機器(www22.domain.com)是來源(centos8)
- 機器(cls.domain.com)是集中式日誌伺服器(centos7)
這是使用auditd+audisp外掛程式傳送到監聽埠60的auditd伺服器以標準方式完成的,例如如下所述:
https://lupeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
但是,當我在來源上重新啟動auditd客戶端後觀察集中式日誌伺服器上的審核日誌時,唯一出現的就是這些行
node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success
其中 ::ffff:xyz152 顯然是由於來自 IP 位址 xyx152(www22.domain.com 位址)的某些封包造成的。這樣客戶端-伺服器之間的 TCP 連線就建立起來了,看來進一步的訊息記錄應該可以運作了。
但日誌檔案中唯一出現的新行是源自 cls.domain.com 的行。從來沒有 www22.domain.com 的審核訊息。
我已經檢查過如果將auditd www22.domain.com 設定為也寫入本地審核日誌檔案會發生什麼情況;然後本地文件會從審計中獲取大量訊息。但仍沒有透過網路發送任何內容。
如何確保auditd客戶端透過網路傳送相同的訊息?
答案1
原來客戶端有設定
格式=ascii
在檔案 audisp-remote.conf 中。我已將其更改為
格式=託管
重新啟動auditd客戶端後,日誌開始在集中式日誌伺服器上傳送和接收。