Я настраиваю центральный сервер с помощью rsyslog и auditd на CentOS 8. Я следил за это руководство о том, как отправлять журналы удаленного аудита на мой центральный сервер.
Примечание: вместо того, чтобы идти в / etc / audisp /, эти файлы можно найти в / etc / audit /.
Итак, у меня были следующие конфигурации на обоих серверах
Клиент:
/etc/audit/auditd.conf
log_format = ENRICHED
name_format = HOSTNAME
/etc/audit/plugins.d/au-remote.conf
active = yes
/etc/audit/audisp-remote.conf
remote_server = <remote server IP>
port = 60
Центральный сервер:
/ etc / audit / auditd
tcp_listen_port = 60
Брандмауэр:
60/tcp
Я перезапустил обе службы auditd на обоих серверах, но получил следующие ошибки: Сообщения об ошибках
Ничего плохого? Или на это влияет неизменность аудита?
Хорошо, гид работает. Я еще раз перечитал руководство по аудиту, чтобы проверить, не влияет ли неизменяемость на конфигурацию. Похоже, да! Я перезагрузил сервер, так как я установил его неизменяемым, и теперь он работает. Я, хотя неизменяемость применяется только к правилам, и они отделены от конфигурации.
