我有3个RHEL-7 EC2实例。所有人都可以使用私有IP相互连接。一个客户端和服务器位于同一子网上,另一客户端来自不同的VPC,但可以通过VPC对等连接到其他两个实例。 rsyslog在服务器上运行,客户端正在通过端口514将日志(/ var / log / messages和/ var / log / secure)发送到服务器实例。为简单起见,firewalld / iptables已停止并且selinux被允许/禁用。
我已在客户端上配置了auditd,该服务处于活动状态(正在运行),但是审核日志未传输到服务器。下面是客户端的“ systemctl status auditd”的详细信息:
[root @ ip-10-0-3-159〜]#systemctl status auditd ●auditd.service-安全审核服务 已加载:已加载(/usr/lib/systemd/system/auditd.service;已启用;供应商预设:已启用) 活动:自周三2018-07-11 19:42:48 UTC起活动(运行); 38s前 文件:man:auditd(8) https://github.com/linux-audit/audit-documentation 进程:386 ExecStartPost = / sbin / augenrules --load(代码=已退出,状态= 0 /成功) 进程:375 ExecStart = / sbin / auditd(代码=已退出,状态= 0 /成功) 主PID:376(已审核) CGroup:/system.slice/auditd.service ├─376/ sbin / auditd └─378/ sbin / audispd
Jul 11 19:42:48 ip-10-0-3-159.ec2.internal audispd [378]:插件/ sbin / audisp-remote已重新启动 7月11日19:42:48 ip-10-0-3-159.ec2.internal audisp-remote [436]:连接到10.0.1.238时出错:网络无法访问 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd [378]:插件/ sbin / audisp-remote意外终止 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd [378]:插件/ sbin / audisp-remote已重新启动 7月11日19:42:48 ip-10-0-3-159.ec2.internal audisp-remote [451]:连接到10.0.1.238时出错:网络无法访问 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd [378]:插件/ sbin / audisp-remote意外终止 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd [378]:插件/ sbin / audisp-remote已重新启动 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd [378]:插件/ sbin / audisp-remote意外终止 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd [378]:插件/ sbin / audisp-remote已超过max_restarts 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd [378]:插件/ sbin / audisp-remote已重新启动
我已经在/etc/audisp/audisp-remote.conf中尝试了公共ip和私有ip(作为remote_server),我可以从客户端远程登录到远程服务器的端口60,安全组和最重要的是,相同的配置在VM环境中可以成功工作。
以下是服务器的“ netstat -tulpen”: [root @ ip-10-0-1-238〜]#netstat -tulpen 活动的Internet连接(仅服务器) Proto Recv-Q Send-Q本地地址外部地址状态用户Inode PID /程序名称 tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 0 18570 1077 / rsyslogd tcp 0 0 0.0.0.0:22 0.0.0.0:*监听0 18464 1070 / sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 0 17663 1032 /主 tcp6 0 0 ::: 60 ::: 收听0 14041 401 / auditd * tcp6 0 0 ::: 514 ::: *监听0 18571 1077 / rsyslogd tcp6 0 0 ::: 80 ::: *听0 17023 759 / httpd tcp6 0 0 ::: 22 ::: *监听0 18466 1070 / sshd tcp6 0 0 :: 1:25 ::: *听0 17664 1032 /主 udp 0 0 127.0.0.1:323 0.0.0.0:* 0 14741 478 / chronyd udp 0 0 0.0.0.0:68 0.0.0.0:* 0 16016 549 / dhclient udp6 0 0 :: 1:323 ::: * 0 14742 478 / chronyd
另一个困惑是,所有服务都在tcp和tcp6上运行,而auditd仅在tcp6上运行。这是值得关注的吗? 在VM环境中,tcp和tc6行都可以进行审核。
答案 0 :(得分:0)
这个大问题的解决方法非常小。 网络可能存在一些问题。我禁用了auditd(systemctl禁用了auditd)。实例启动后,手动启动auditd服务(systemctl start auditd)。这是一个快速修复。我不知道根本原因。