Q

如何發送audit.log到遠程服務器的syslog-ng的

2016-08-11 63 views 0 likes

0

好日子，如何發送audit.log到遠程服務器的syslog-ng的

我有syslog-ng的（syslog-ng的-1.6.8-20.23.1） SLES 10，我不能讓正確的配置，以便將文件/var/log/audit/audit.log發送到遠程系統日誌服務器。

我用tcpdump，我可以看到發送到遠程服務器的數據包中的一些細節，但我沒有看到tcp數據包中審計格式的任何內容。

filter f_audit { facility(13); }; 
filter f_audit2 {facility(security);}; 

destination d_local_facility { 
    file("/var/log/$FACILITY/$FACILITY.log"); 


destination d_remote_loghost { tcp("$hostname" port(514)); }; 

log { 
    source(s_local); 
    destination(d_remote_loghost5); 

};

我在做什麼錯？

2016-08-11 user1019100

A

回答

0

您必須configure a file source in syslog-ng讀取/var/log/audit/audit.log文件，並將此源包含在日誌語句中。我看不到你的配置文件。

順便說一句，syslog-ng版本1.6是古老而無法言喻的。 syslog-ng 3.7可以parse auditd logs to extract information，所以你可能想要升級。你可以在https://syslog-ng.org/3rd-party-binaries/

2016-08-15 15:28:57

0

找到一些用於syslog-ng的SLES軟件包在SLES 10中，我最終在啓動時使用了一個腳本。該文件after.local是rc.local中

所以，在/etc/init.d/after.local相當於：

nohup的在/ usr/bin中/ tailf的/ var /日誌/審計/審計。日誌|/bin/logger -t audispd -p local6.info &

由於auditspd調度程序的存在，在SLES 11中更容易。

2016-08-29 17:27:46 user1019100

相關問題