Как я могу обрабатывать журналы auditd на лету с помощью ausearch?
Я хочу отправлять журналы в централизованное ведение журнала (ELK). Из-за того, как обстоят дела, мне нужно выполнять обработку на машине, которая создает журналы. Как я могу заставить каждое новое событие auditd автоматически обрабатываться программой ausearch и записываться в другой файл?
Простейший (но ориентированный на партии):Используйте возможность контрольной точки в ausearch, сериализуйте вывод в некоторый транспортный механизм (т. Е. Сложите несколько записей в одну строку и передайте через syslog, и пусть ваши макросы logstash снова разбивают его) и запускайте каждые N минут.
Дополнительные усилия: Вырежьте код для выполнения вышеуказанного с помощью audit-libs (начните с auparse-feed (3)) и настройте диспетчер auditd для отправки аудита в ваш код.