Dieser kurze Hinweis erläutert die Schritte zum Weiterleiten von Prüfprotokollen an einen Remote-rsyslog-Server auf einem CentOS/RHEL 6,7-Server.
Serverseitige Konfiguration
Führen Sie diese Schritte aus, um den Syslog-Server einzurichten:
1. Entkommentieren Sie die folgenden Zeilen in den ‘MODULES ‘ Abschnitt von /etc/rsyslog.conf :
# vi /etc/rsyslog.conf $ModLoad imtcp $InputTCPServerRun 514
Wenn Sie UDP verwenden, kommentieren Sie die folgenden Zeilen aus:
# vi /etc/rsyslog.conf $ModLoad imudp $UDPServerRun 514
2. Konfigurieren Sie den rsyslog-Server so, dass er rsyslog-Ereignisse vom Client empfängt. Um Überwachungsprotokolle von Client-Servern zu erhalten, fügen Sie die folgenden Zeilen in die Datei /etc/rsyslog.conf ein:
# vi /etc/rsyslog.conf $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" local6.* ?HostAudit
3. Starten Sie den rsyslog-Dienst neu.
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7
Clientseitige Konfiguration
1. Erstellen Sie ein Backup der bestehenden /etc/rsyslog.conf.
# cp /etc/rsyslog.conf /etc/rsyslog.conf.bkp
2. Hängen Sie die folgenden Regeln an die Datei /etc/rsyslog.conf an, um die Protokolle an den zentralen rsyslog-Server weiterzuleiten. „imfile ”-Modul muss auf dem rsyslogd geladen werden, sonst funktioniert die Konfiguration zum Weiterleiten des Auditd-Logs nicht.
# vi /etc/rsyslog.conf #audit log $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor *.* @[serverip] ### Add rsyslog server IP here
Stellen Sie sicher, dass Sie @[serverip] durch die IP-Adresse Ihres rsyslog-Servers ersetzen.
3. Starten Sie den rsyslog-Dienst neu, damit die Änderungen wirksam werden.
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7