AWS EC2 RHEL 7审计服务正在运行，但无法连接到远程服务器

Question

我有3个RHEL-7 EC2实例.所有用户都可以使用私有IP相互连接。一个客户端和服务器位于同一个子网上，另一个客户端来自不同的VPC，但可以通过VPC窥视连接其他两个实例。rsyslog在服务器上运行，客户端通过端口514向服务器实例发送日志(/var/log/messages和/var/log/secure)。为了简单起见，firewalld/iptables被停止，selinux被允许/禁用。

我已经在客户端上配置了auditd，服务是活动的(正在运行)，但是审计日志没有被传输到服务器。以下是客户端的"systemctl状态审计“的详细信息：

根@ip-10-0-3-159 ~# system UTC状态审计auditd.service -安全审计服务加载:加载(/usr/lib/systemd/system/auditd.service；已启用；供应商预置:已启用) Active: active (运行)自Wed 2018-07-11 19:42:48 UTC；38前文档: man:auditd(8) https://github.com/linux-audit/audit-documentation进程: 386 ExecStartPost=/sbin/augenrules -加载(code=exited，status=0/SUCCESS)进程: 375 ExecStart=/sbin/auditd (code=exited，status=0/SUCCESS)主PID: 376 (auditd) CGroup: /system.片/auditd.service├─376 /sbin/auditd└─378 /sbin/audispd

7月11日19:42:48 ip-10-0-3-159.ec2.内部audispd378: plugin /sbin/audisp-audispd378被重新启动11 19:42:48 ip-10-0-3-159.ec2.内部audisp-remote 436:错误连接到10.0.1.238:网络不可达Jul 11 19:42 ip-10-0-3-159.ec2.内部audispd378: plugin /sbin/audisp-remote 11 19:42:48 ip-10-3-159.ec2audispd378: plugin /sbin/audisp-audispd378被重新启动，7月11日19:42:48 ip- 10-0-3-159.ec2.内部audisp-远程451:连接到10.0.1.238的错误:网络不可访问. 11 19:42:48 ip-10-0-3-159.ec2.内部audispd378: plugin /sbin/audisp- audispd378: plugin /sbin/audisp-remote意外终止内部audispd378: plugin /sbin/audisp-遥控器意外终止7月11日19:42:48 ip-10-0-3-159.ec2内部audispd378: plugin /sbin/audisp-audispd378已超过max_restarts Jul 11 19:42:48 ip-10-0-3-159.ec2.内部audispd378: plugin /sbin/audisp-max_restarts重新启动

我已经在/etc/audisp/audisp-emote.conf中尝试了公共ip和私有ip (作为remote_server)，我可以从客户端向60端口发送远程服务器，安全组没有问题，最重要的是，相同的配置在VM环境下成功地工作。

以下是服务器的"netstat -tulpen“：root@ip-10-0-1-238 ~# netstat -tulpen活动互联网连接(仅服务器) Proto q发送-q本地地址地址外接地址状态用户Inode PID/程序名tcp 0 0 0.0.0:514 0.0.0.0:*侦听0 18570 1077/*侦听18464 18464 1070/sshd 0 127.0.0.1:25 0.0.0：*侦听0 17663 1032/主tcp6 0:60* LISTEN 0 14041 14041 401/auditd* tcp6 0 0:514：：* LISTEN 0 18571 1077/401 tcp6 0：：80：：*侦听17023 17023 759/httpd tcp6 0:22：：*听0 18466 1070/sshd tcp6 0:1:25:侦听17023 17664 1032/主udp 14741 127.0.0.1:323 0.0.0.0:* 0 14741 478/时udp 0 0 0.0.0:68 0.0.0：*0 16016 549/dhclient udp6 0 0 0*1:323：*0 14742 478/14742

另一个困惑是，所有服务都运行在tcp和tcp6上，但auditd只运行在tcp6上。这是值得关注的事情吗？在VM环境中，tcp和tc6行都在进行审核。

Answer 1

很小的解决这个大问题的方法。可能这个网络有什么问题。我禁用了auditd (systemctl禁用auditd)。实例启动后，手动启动auditd服务(systemctl start auditd)。这是一个快速的解决办法。但我不知道根本原因。