美好的一天,
我有syslog-ng的SLES 10(syslog-ng-1.6.8-20.23.1) 我无法获得正确的配置,因此将文件/var/log/audit/audit.log发送到远程syslog服务器。
我使用了tcpdump,我可以看到发送到远程服务器的数据包中的一些细节,但我没有看到tcp数据包中有任何审计格式的内容。
filter f_audit { facility(13); };
filter f_audit2 {facility(security);};
destination d_local_facility {
file("/var/log/$FACILITY/$FACILITY.log");
destination d_remote_loghost { tcp("$hostname" port(514)); };
log {
source(s_local);
destination(d_remote_loghost5);
};
我做错了什么?
答案 0 :(得分:1)
您必须configure a file source in syslog-ng读取/var/log/audit/audit.log文件,并将此源包含在日志语句中。我在配置文件中看不到。
BTW,syslog-ng 1.6版本远远超出了文字。 syslog-ng 3.7可parse auditd logs to extract information,因此您可能希望升级。您可以在https://syslog-ng.org/3rd-party-binaries/ 找到syslog-ng的一些SLES包答案 1 :(得分:0)
在SLES 10中,我终于在启动时使用了一个脚本。 after.local文件相当于rc.local
所以,在/etc/init.d/after.local:
nohup / usr / bin / tailf /var/log/audit/audit.log | / bin / logger -t audispd -p local6.info&
在SLES 11中更容易,因为auditspd调度程序存在。