Auditd不向集中式auditd日志服务器发送日志

Question

我们为两台机器设置了对auditd消息的集中记录：

• 机器(www22.domain.com)是源(centos8)
• 机器(cls.domain.com)是集中式日志服务器(centos7)。

这是以标准的方式完成的，使用auditd+audisp插件发送到侦听端口60的auditd服务器，例如，如下所述：

https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/

但是，在重新启动源上的auditd客户端之后，当我在集中式日志服务器上观察到审计日志时，出现的惟一内容是行。

node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success

其中:ffff:x.y.z.152显然是由来自IP地址x.y.x.152 (www22.domain.com地址)的某个数据包(S)造成的。因此，客户端服务器之间的TCP连接被建立起来，并且似乎进一步的消息日志记录应该能够工作。

但是，日志文件中唯一出现的新行是源自cls.domain.com的行。从来没有来自www22.domain.com的审计消息。

我检查了如果auditd www22.domain.com设置为也写入本地审计日志文件时会发生什么；然后本地文件从审计中获取大量消息。但是仍然没有通过网络发送任何东西。

如何确保auditd客户端通过网络发送相同的消息？

Answer 1

结果是客户端设置了

format = ascii

文件中的audisp-emote.conf。我把这个换成了

format =托管

在重新启动auditd客户端之后，开始在集中式日志服务器上发送和接收日志。