审计不发送到远程中央服务器

Question

我在CentOS 8上使用rsyslog和auditd设置一个中央服务器，并跟踪本指南如何将远程审计日志发送到我的中央服务器。

注意:这些文件不是指向/etc/audisp/，而是可以在/etc/audisp/上找到。

因此，我在两台服务器上都有以下配置

客户端：

/etc/审计/审计。

log_format = ENRICHED
name_format = HOSTNAME

/etc/审计/plugins.d/au-emote.conf

active = yes

/etc/审计/audisp-遥控器

remote_server = <remote server IP>
port = 60

中央服务器：

/etc/审计/审计d

tcp_listen_port = 60

防火墙：

60/tcp

我已经在两个服务器上重新启动了这两个auditd服务，但是我得到了以下错误：错误信息

有什么不对劲吗？还是使审计不可变影响到这一点？

Answer 1

好的指南起作用了。我再次阅读审核手册，以检查影响配置的不可变性。好像是的！我重新启动了服务器，因为我将它设置为不可变，现在它可以工作了。我认为不可变只适用于规则，它们与配置是分开的。