Мы настроили централизованное ведение журнала сообщений аудита для двух машин:
Это было сделано стандартным способом с помощью плагина auditd+audisp, отправляющего в auditd сервер прослушивает порт 60, например как описано здесь :
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
. Но затем, когда я наблюдаю за журналом аудита на централизованном сервере журналов после перезапуска клиента auditd в источнике, единственное, что появляется, это строки
node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success
, где ::ffff:xyz152, очевидно, из-за какого-то пакета(s)с IP-адреса xyx152 (адреса www22.domain.com). Таким образом, устанавливается TCP-соединение между клиентом-сервером и, похоже, дальнейшая регистрация сообщений должна работать.
Но тогда единственные новые строки, которые когда-либо появляются в файле журнала, это те, которые исходят от cls.domain.com. Никогда не приходят сообщения аудита от www22.domain.com.
Я проверил, что происходит, если для аудита www22.domain.com настроена также запись в локальный файл журнала аудита; затем локальный файл получает множество сообщений от аудита. Но по сети по-прежнему ничего не отправляется.
Как убедиться, что клиент auditd отправляет одни и те же сообщения по сети?
Оказывается, у клиента была настройка
format = ascii
в файле audisp-remote.conf. Я изменил это на
format = manage
После перезапуска клиента auditd журналы начали отправляться и получаться на централизованном сервере журналов.