大家好,又见面了,我是你们的朋友全栈君。
编辑:2014年11月17日
这个答案可能仍然有效,但在2014年,using the Audisp plugin是更好的答案.
如果您正在运行stock ksyslogd syslog服务器,我不知道如何执行此操作.但是有很好的指示可以在Wiki上使用rsyslog.(http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log)
我将总结一下:
>在发送客户端(rsyslog.conf):
auditd audit.log
$InputFileName /var/log/audit/audit.log
$InputFileTag tag_audit_log:
$InputFileStateFile audit_log
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor
#
请注意,imfile模块需要先前已在rsyslog配置中加载.这是负责的一行:
$ModLoad imfile
因此,请检查它是否在您的rsyslog.conf文件中.如果不存在,请在### MODULES ###部分下添加它以启用此模块;否则,审计日志记录的上述配置将不起作用.
>在接收服务器(rsyslog.conf)上:
$template HostAudit,”/var/log/rsyslog/%HOSTNAME%/audit_log”
local6.*
在两台主机上重新启动服务(service rsyslog restart),您应该开始接收审计消息.
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/139546.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...
