将Auditd.log数据重定向到RHEL-7中的rsyslog

Question

我想将auditd日志数据重定向到rsyslog，而不是audit.log文件。

我看到默认情况下，在/etc/auditd.conf中包含了以下行，以便将其重定向到

log_file = /var/log/audit/audit.log

是否可以将审核日志重定向到同一台计算机上的syslog或rsyslog。

注意:此时我没有任何外部日志服务器，并且希望在运行我的应用程序的RHEL服务器的同一个实例上测试这一点。

任何协助都是非常感谢的。

注意:我的rsyslog服务器和auditd日志位于同一个服务器实例上。RHEL-7 -> 3.10.0-862.el7.x86_64

谢谢

Answer 1

如果希望将审计日志写入/var/log/messages，可以通过编辑配置文件中的active选项值来实现：

# vim /etc/audisp/plugins.d/syslog.conf
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
# systemctl reload auditd