使用RHEL6,我目前使用audispd设置将日志发送到远程服务器。远程服务器成功接收消息,并将它们写入远程审核日志。我的问题是,我似乎无法将转发的消息(本地工作)由audispd处理并写入rsyslog。
这不起作用。 box1 auditd ===> box1 audispd ===> box2 auditd XXX> box2 audispd XXX> box2 rsyslog
这样做。 box2 auditd ===> box2 audispd ===> box2 rsyslog
我一般都知道如何配置audispd将本地日志发送到rsyslog,但转发的日志不会转到rsyslog。上面的X显示了流量未到达目的地的位置。
除非无法通过box2上的audispd发送转发邮件,否则我不打算使用imfile或其他解决方法。我知道我可以发送到box1上的rsyslog,但我不打算这样做。