[2] Transfer logów ze zdalnego hosta
6 marca 2022Skonfiguruj Auditd, aby przesyłać logi do zdalnego hosta.
Ten przykład jest oparty na środowisku, jak poniżej.
[1] Skonfiguruj Auditd Host, który odbiera logi audytu ze zdalnych hostów.
[root@vlsr01 ~]# mcedit /etc/audit/auditd.conf # linia 27: odkomentuj i wpisz port nasłuchujący tcp_listen_port = 60 [root@vlsr01 ~]# service auditd restart
[2] Jeżeli Firewalld jest uruchomiony, zezwól na pracę w sieci usłudze Audit.
[root@vlsr01 ~]# firewall-cmd --add-service=audit --permanent [root@vlsr01 ~]# firewall-cmd –reload
[3] Skonfiguruj host Klienta Audit, który będzie przesyłał logi.
[root@vlsr02 ~]# dnf install audispd-plugins [root@vlsr02 ~]# mcedit /etc/audit/plugins.d/au-remote.conf # linia 6: zmień active = yes [root@vlsr02 ~]# mcedit /etc/audit/audisp-remote.conf # linia 6: host do którego są/będą przesyłane logi remote_server = vlsr01.zicher.lab # linia 7: port na którym działa usluga (skonfigurowany w serwerze jako port nasłuchujący) port = 60 [root@vlsr02 ~]# mcedit /etc/audit/auditd.conf # linia 9: zmień (nie zapisuj logów w lokalnym systemie plików) log_format = NOLOG [root@vlsr02 ~]# service auditd restart
[4] Jest OK, dzienniki audytu na zdalnych hostach są rejestrowane w następujący sposób.
[root@vlsr01 ~]# grep vlsr01 /var/log/audit/audit.log type=SOFTWARE_UPDATE msg=audit(1646556624.399:102): pid=1343 uid=0 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=install sw="perl-Digest-1.17-395.el8.noarch" sw_type=rpm key_enforce=0 gpg_res=1 root_dir="/" comm="dnf" exe="/usr/libexec/platform-python3.6" hostname=vlsr01.zicher.lab addr=? terminal=pts/0 res=success'UID="root" AUID="root" type=SOFTWARE_UPDATE msg=audit(1646556624.399:103): pid=1343 uid=0 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=install sw="perl-Digest-MD5-2.55-396.el8.x86_64" sw_type=rpm key_enforce=0 gpg_res=1 root_dir="/" comm="dnf" exe="/usr/libexec/platform-python3.6" hostname=vlsr01.zicher.lab addr=? terminal=pts/0 res=success'UID="root" AUID="root" type=SOFTWARE_UPDATE msg=audit(1646556624.399:104): pid=1343 uid=0 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=install sw="perl-Data-Dumper-2.167-399.el8.x86_64" sw_type=rpm key_enforce=0 gpg_res=1 root_dir="/" comm="dnf" exe="/usr/libexec/platform-python3.6" hostname=vlsr01.zicher.lab addr=? terminal=pts/0 res=success'UID="root" AUID="root" . . . . .