文章/答案/技术大牛

发布

社区首页 >问答首页 >如何使用syslog-ng将audit.log发送到远程服务器

问如何使用syslog-ng将audit.log发送到远程服务器
EN

Stack Overflow用户

提问于 2016-08-11 23:56:48

回答 2查看 2.3K关注 0票数 0

日安，

我的SLES10带有syslog-ng ( syslog -ng-1.6.8-20.23.1)，我无法获得正确的配置，因此文件/var/log/audit.log被发送到远程syslog服务器。

我使用了tcpdump，我可以在发送到远程服务器的数据包中看到一些细节，但我在tcp数据包中看不到任何审计格式。

filter f_audit   { facility(13); };
filter f_audit2 {facility(security);};

destination d_local_facility {
  file("/var/log/$FACILITY/$FACILITY.log");


destination d_remote_loghost { tcp("$hostname" port(514)); };

log {
  source(s_local);
    destination(d_remote_loghost5);

};

我做错了什么？

audit

syslog-ng

回答 2

Stack Overflow用户

发布于 2016-08-15 23:28:58

您必须对读取/var/ configure a file source in syslog-ng /configure a file source in syslog-ng/audit.log文件的日志进行审计，并将此源文件包含在日志语句中。我在你的配置文件里看不到。

顺便说一句，syslog-ng 1.6版很古老，无法用语言表达。syslog-ng 3.7可以parse auditd logs to extract information，所以你可能需要升级。您可以在https://syslog-ng.org/3rd-party-binaries/找到一些syslog-ng的SLES包

票数 1

Stack Overflow用户

发布于 2016-08-30 01:27:47

在SLES10中，我终于在引导时使用了脚本。文件after.local等效于rc.local

因此，在/etc/init.d/After.local中：

nohup /usr/bin/tailf /var/log/audit/audit.log | /bin/logger -t audispd -p local6.info &

在SLES11中更容易，因为auditspd调度程序存在。

票数 0

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/38901116

复制

相似问题

问如何使用syslog-ng将audit.log发送到远程服务器
EN

回答 2

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问如何使用syslog-ng将audit.log发送到远程服务器EN

回答 2

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问如何使用syslog-ng将audit.log发送到远程服务器
EN