Я хочу настроить центральный лог-сервер. Сервер журнала работает под управлением debian 6.0.6, а демон аудита установлен в версии 1.7.13-1.
Клиенты работают с Red Hat 5.5 и подключаются к серверу журналов через audispd. Соединение работает нормально, и я получаю все сообщения от каждого узла.
Мои вопросы: возможно ли, чтобы демон auditd с сервера журналов записывал сообщения от каждого узла в отдельный файл?
Я пытаюсь передать сообщения через демон syslog, который работает, но я не могу использовать такие инструменты, как ausearch, для анализа этих файлов журналов.
Вы можете легко сделать это с помощью rsyslog вот так
$template DynFile,"/var/log/%HOSTNAME%/%programname%.log"