Я настраиваю центральный сервер с помощью rsyslog и auditd на CentOS 8. Я следил этому руководству о том, как отправлять журналы удаленного аудита на мой центральный сервер.
Примечание: вместо перехода в / etc / audisp / эти Вместо этого файлы можно найти в / etc / audit /.
Итак, у меня были следующие конфигурации на обоих серверах
Клиент:
/etc/audit/auditd.conf
log_format = ENRICHED
name_format = HOSTNAME
/ etc / audit / plugins. d / au-remote.conf
active = yes
/etc/audit/audisp-remote.conf
remote_server = <remote server IP>
port = 60
Центральный сервер:
/ etc / audit / auditd
tcp_listen_port = 60
Брандмауэр:
60/tcp
Я перезапустил обе службы auditd на оба сервера, но я получил следующие ошибки: сообщения об ошибках
Что-то не так? Или на это влияет создание неизменяемого аудита?
Хорошо, руководство работает. Я еще раз перечитал руководство по аудиту, чтобы проверить, влияет ли неизменяемость на конфигурацию. Кажется, это так! Я перезагрузил сервер, так как я сделал его неизменяемым, и теперь он работает. Хотя неизменность применяется только к правилам, и они отделены от конфигурации.