Используя RHEL6, у меня сейчас есть настройка audispd для отправки журналов на удаленный сервер. Удаленный сервер успешно получает сообщения и записывает их в журнал удаленного аудита. Моя проблема в том, что я не могу заставить перенаправленные сообщения (локальные работают) обрабатываться audispd и записываться в rsyslog.
Это не работает. box1 auditd ===> box1 audispd ===> box2 auditd XXX> box2 audispd XXX> box2 rsyslog
Это делает. box2 auditd ===> box2 audispd ===> box2 rsyslog
Обычно я знаю, как настроить audispd для отправки локальных журналов в rsyslog, но перенаправленные журналы не попадают в rsyslog. Знаки X выше показывают, где трафик не достигает места назначения.
Я не хочу использовать imfile или другие обходные пути, если только невозможно отправить переадресованные сообщения через audispd на box2. Я знаю, что могу отправить в rsyslog на box1, но я не намерен этого делать.