Вы также можете создать новый файл журнала на каждом хосте, который будет получать копии соответствующих сообщений, которые вы хотите инициировать. Затем вы просто создаете задание для копирования важных сообщений из других журналов в новый единый журнал.
Я стараюсь держаться подальше от почты, так как это добавляет другие проблемы и может предотвратить выход вашего предупреждения системы безопасности.
Вы можете использовать zabbix для мониторинга файлов журнала , чтобы просмотреть /var/log/audit/audit.log
для ожидаемого регулярного выражения ( AVC
возможно) и соответствующим образом установите триггер.
Это не работает , поскольку вам нужно запустить агент zabbix от имени пользователя root, вы должны разрешить агенту zabbix доступ к этому файлу. После того, как вы сможете отслеживать файл как обычно.
Вот ваш шаблон для SELinux: https://github.com/GioMac/zabbix/blob/master/templates/Template_SELinux.xml