Что такое средство системного журнала для журналов auditd?
Агент Передачи почты запросит записи DNS MX на домен получения (example.com) и определит запись с самым низким расстоянием (приоритет или предпочтение) (mail.example.com, хотя никакое предпочтение не дано в Вашем примере), и будет искать соответствующий IP-адрес для той записи. MTA соединится с IP-адресом, возвращенным сервером DNS для поставки электронной почты.
В Вашем примере Вы пропускаете запись для mail.example.com и предпочтение записи MX, но нотация предпочтения зависит от используемого программного обеспечения DNS.
Name | Type | Value
-----------------+-------+--------------
example.com | A | 20.20.20.20
example.com | MX | 10 mail.example.com
mail.example.com | A | 20.20.20.20
Auditd to syslog plugin settings
Подключаемый модуль Audisp отправляет данные auditd в syslog по умолчанию для функции пользователя . Однако вы можете это изменить.
cat /etc/audisp/plugins.d/syslog.conf
# This file controls the configuration of the syslog plugin.
# It simply takes events and writes them to syslog. The
# arguments provided can be the default priority that you
# want the events written with. And optionally, you can give
# a second argument indicating the facility that you want events
# logged to. Valid options are LOG_LOCAL0 through 7, LOG_AUTH,
# LOG_AUTHPRIV, LOG_DAEMON, LOG_SYSLOG, and LOG_USER.
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
Ключ Допустимые параметры - от LOG_LOCAL0 до 7 , так что вы можете настроить это в соответствии со своими потребностями. В моей системе это настройки по умолчанию, указанные выше, и я получаю сообщения аудита в журналах пользователя .
Моя причина использования этой конфигурации состоит в том, потому что au-remote плагин был ненадежен, и отбрасывает много сообщений. Это также лавинно рассылает мои системные журналы с ошибками в результате. Я также хотел сохранить переданные журналы аудита отдельными на сервере агрегирования.
Первый, настройте syslog плагин:
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO LOG_LOCAL6
Примечание, что существует два аргумента в пользу args, priority и facility. LOG_INFO приоритет означает отправлять все сообщения, которые являются info или более серьезны. Средство в основном rsyslog канал, в который контрольный диспетчер должен направить сообщения. Это может быть любая из допустимых опций, перечисленных в документации для syslog плагин. Я просто использую LOG_LOCAL6, потому что это не используется никакими другими приложениями в моей системе, и я хочу разделить контрольные журналы.
Редактирование /etc/audisp/plugins.d/au-remote.conf для отключения au-remote плагин:
active = no
документация для плагина системного журнала рекомендует следующее:
при агрегации нескольких машин необходимо отредактировать auditd.conf для установки name_format на что-то значимое и log_format к обогащенному. Таким образом, можно сказать, куда событие прибыло из, и имейте имя пользователя и группы, разрешенные локально, прежде чем оно будет отослано машины.
, Таким образом, я использовал эти настройки:
NAME_FORMAT = HOSTNAME
LOG_FORMAT = ENRICHED
контрольные журналы уже пишутся локально в [1 119], таким образом, нет никакой потребности отредактировать /etc/rsyslog.conf и сказать этому писать local6 сообщения от контрольного диспетчера в файл. Просто необходимо удостовериться, что у Вас есть rsyslog, настроенный для передачи, и сообщения перейдут к серверу агрегирования.
, Если Вы только [1 144] хотят, чтобы сообщения аудита были переданы, сделайте следующее в [1 122], и перезапуск rsyslog.service:
local6.* @@logs.example.com:514
Перезапуск контрольный демон для применения настроек (не используют systemctl restart):
service restart auditd
Затем на Вашем сервере агрегирования журнала, редактирование /etc/rsyslog.conf для записи входящих сообщений в специализированный файл:
local6* /var/log/auditd-forwarded
Наконец, добавьте этот журнал к расписанию вращения журнала в [1 126] (на сервере агрегирования):
/var/log/spooler
/var/log/auditd-forwarded
{
missingok
Примечание: можно дополнительно поместить logrotate конфигурация в ее собственном файле.
Это было проверено для работы над CentOS 7.
Я был сбит с толку насчет ключа и значения в этом файле, поэтому вот рабочая конфигурация для меня: - (используемая система: Ubuntu 16.04) /etc/audisp/plugins.d/syslog.conf
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_LOCAL6 #send log to local6 facility
Изменить конфигурацию rsyslog для сохранения журнала auditd
/etc/rsyslog.d/50-default.conf
local6.* @@192.168.8.147:6161 #send local6 log to central log server listening on tcp port 6161
# To save local6 to file
local6.* /tmp/auditd.log