0

良い一日、

SLES 10 で syslog-ng (syslog-ng-1.6.8-20.23.1) を使用していますが、適切な構成を取得できないため、ファイル /var/log/audit/audit.log がリモート syslog サーバーに送信されます。

tcpdump を使用したところ、リモート サーバーに送信されたパケットの詳細を確認できましたが、tcp パケットの監査形式については何も確認できませんでした。

filter f_audit   { facility(13); };
filter f_audit2 {facility(security);};

destination d_local_facility {
  file("/var/log/$FACILITY/$FACILITY.log");


destination d_remote_loghost { tcp("$hostname" port(514)); };

log {
  source(s_local);
    destination(d_remote_loghost5);

};

私は何を間違っていますか?

4

2 に答える 2

1

/var/log/audit/audit.log ファイルを読み取るsyslog-ng でファイル ソースを構成し、このソースをログ ステートメントに含める必要があります。設定ファイルでそれを見ることができません。

ところで、syslog-ng バージョン 1.6 は言葉では言い表せないほど古いものです。syslog-ng 3.7 はauditd ログを解析して情報を抽出できるため、アップグレードすることをお勧めします。syslog-ng の SLES パッケージは、https: //syslog-ng.org/3rd-party-binaries/ にあります。

于 2016-08-15T15:28:57.630 に答える
0

SLES 10 では、起動時にスクリプトを使用するようになりました。ファイル after.local は rc.local と同等です

したがって、/etc/init.d/after.local で:

nohup /usr/bin/tailf /var/log/audit/audit.log | /bin/logger -t audispd -p local6.info &

auditspd ディスパッチャが存在するため、SLES 11 では簡単です。

于 2016-08-29T17:27:46.563 に答える