将Auditd.log数据重定向到RHEL-7中的rsyslog

Question

我想将审计日志数据重定向到rsyslog而不是audit.log文件。

我看到缺省情况下，在“/etc/auditd.conf”文件中包含了以下行，将其重定向到

log_file = /var/log/audit/audit.log

是否可以将审核日志重定向到同一台计算机上的syslog或rsyslog。

注意:在这一点上，我没有任何外部日志服务器，我想在运行我的应用程序的RHEL服务器的同一实例上进行测试。

我们非常感谢您的帮助。

注意:我的rsyslog Server和auditd日志位于同一服务器实例上。RHEL-7 -->3.10.0-862.el7.x86_64谢谢

Answer 1

您可以使用audisp插件- syslog。

path - /etc/audisp/plugins.d/syslog.conf