Вопросы Теги

Отправка контрольных журналов к серверу СИСТЕМНОГО ЖУРНАЛА

Я нашел эту ошибку на веб-сайте Debian, который был объединен с этим. Однако они, действительно кажется, старше, чем проблема, которую Вы только что нашли.

Кроме того, от Wiki Debian на udev Вы можете смотреть на / исправляют init сценарии для него.

Из связанного обсуждения Ubuntu кажется, что это было зафиксировано, по крайней мере, там.

Не уверенный, если они помогут/устранят Вам проблема, но возможно они находятся в правильном направлении :)

12
задан 15 November 2010 в 17:51
3 ответа

Править: 17.11.14

Этот ответ может все еще работать, но в 2014, использование плагина Audisp является лучшим ответом.

Если Вы выполняете запас ksyslogd сервер системного журнала, я не знаю, как сделать это. Но существуют большие инструкции для того, чтобы сделать его с rsyslog в их Wiki. (http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log)

Я подведу итог:

  • На передающем клиенте (rsyslog.conf): 

    # auditd audit.log  
$InputFileName /var/log/audit/audit.log  
$InputFileTag tag_audit_log:  
$InputFileStateFile audit_log  
$InputFileSeverity info  
$InputFileFacility local6  
$InputRunFileMonitor

    Обратите внимание что imfile модуль должен будет быть загружен ранее в rsyslog конфигурации. Это - строка, ответственная за это: 

    $ModLoad imfile

    Так проверяют, находится ли это в Вашем rsyslog.conf файл. Если это не там, добавьте его под ### MODULES ### раздел для включения этого модуля; иначе вышеупомянутая конфигурация для входа auditd не будет работать.

  • На сервере получения (rsyslog.conf): 

    $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log"  
local6.*

Перезапустите сервис (service rsyslog restart) на обоих хостах и необходимо начать получать auditd сообщения.

9
ответ дан 2 December 2019 в 21:32
  • 1
    К сожалению, (но по приемлемой причине) системный журнал не является выходной опцией с auditd, таким образом, необходимо сделать это что-то вроде этого. –  Scott Pack 15 November 2010 в 18:26

Вы можете напрямую войти в системный журнал, используя audisp, это часть пакета аудита. В Debian (я еще не пробовал в других дистрибутивах) отредактируйте: 

/etc/audisp/plugins.d/syslog.conf

и установите active = yes .

3
ответ дан 2 December 2019 в 21:32

Самый безопасный и правильный метод - использовать подключаемый модуль системного журнала audispd и / или audisp-remote .

Чтобы быстро заставить его работать вы можете редактировать /etc/audisp/plugins.d/syslog.conf. RHEL включает это по умолчанию, хотя и отключено. Вам нужно изменить только одну строку, чтобы включить его, active = yes . 

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Но по умолчанию это не очень безопасно; syslog - это небезопасный протокол в своей основе, незашифрованный, не прошедший проверку подлинности и в своей исходной спецификации UDP совершенно ненадежный. Он также хранит много информации в небезопасных файлах. Система аудита Linux обрабатывает более конфиденциальную информацию, чем обычно отправляется в системный журнал, поэтому она разделена. audisp-remote также обеспечивает аутентификацию и шифрование Kerberos, поэтому он хорошо работает в качестве безопасного транспорта. Используя audisp-remote, вы отправляете сообщения аудита с помощью audispd на удаленный сервер audisp, работающий на вашем центральном сервере системного журнала. Затем audisp-remote будет использовать подключаемый модуль audispd syslog для передачи их в dameon syslog.

Но есть и другие методы! rsyslog очень надежен! rsyslog также предлагает шифрование Kerberos и TLS. Просто убедитесь, что он настроен безопасно.

13
ответ дан 2 December 2019 в 21:32

Теги

Похожие вопросы