GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Prüfprotokolle an den SYSLOG-Server senden

Lösung 1:

Die sicherste und korrekteste Methode ist die Verwendung des audispd-Syslog-Plugins und/oder audisp-remote.

Damit es schnell funktioniert, können Sie /etc/audisp/plugins.d/syslog.conf bearbeiten . RHEL enthält dies standardmäßig, obwohl es deaktiviert ist. Sie müssen nur eine Zeile ändern, um es zu aktivieren, active =yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Aber das ist standardmäßig nicht sehr sicher; Syslog ist an seiner Basis ein unsicheres Protokoll, unverschlüsselt, nicht authentifiziert und in seiner ursprünglichen UDP-Spezifikation völlig unzuverlässig. Es speichert auch viele Informationen in unsicheren Dateien. Das Linux-Audit-System verarbeitet sensiblere Informationen, als normalerweise an Syslog gesendet werden, daher ist es getrennt. audisp-remote bietet auch Kerberos-Authentifizierung und -Verschlüsselung, sodass es gut als sicherer Transport funktioniert. Mit audisp-remote würden Sie Prüfmeldungen mit audispd an einen audisp-remote-Server senden, der auf Ihrem zentralen Syslog-Server läuft. Die audisp-remote würde dann das audispd-Syslog-Plug-In verwenden, um sie in den Syslog-Dämon einzuspeisen.

Aber es gibt andere Methoden! rsyslog ist sehr robust! rsyslog bietet auch Kerberos-Verschlüsselung plus TLS. Stellen Sie einfach sicher, dass es sicher konfiguriert ist.

Lösung 2:

Änderung:17.11.14

Diese Antwort funktioniert möglicherweise immer noch, aber im Jahr 2014 ist die Verwendung des Audisp-Plugins die bessere Antwort.

Wenn Sie den Standard-syslog-Server ksyslogd ausführen, weiß ich nicht, wie das geht. Aber es gibt großartige Anweisungen, wie man es mit rsyslog in ihrem Wiki macht. ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Ich fasse zusammen:

  • Auf dem sendenden Client (rsyslog.conf ):

    # auditd audit.log  
$InputFileName /var/log/audit/audit.log  
$InputFileTag tag_audit_log:  
$InputFileStateFile audit_log  
$InputFileSeverity info  
$InputFileFacility local6  
$InputRunFileMonitor

    Beachten Sie, dass die imfile Modul muss zuvor in der rsyslog-Konfiguration geladen worden sein. Dafür ist diese Zeile verantwortlich:

    $ModLoad imfile

    Überprüfen Sie also, ob es in Ihrem rsyslog.conf ist Datei. Wenn es nicht da ist, fügen Sie es unter ### MODULES ### hinzu Abschnitt, um dieses Modul zu aktivieren; Andernfalls funktioniert die obige Konfiguration für die auditd-Protokollierung nicht.

  • Auf dem empfangenden Server (rsyslog.conf ):

    $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log"  
local6.*

Starten Sie den Dienst neu (service rsyslog restart ) auf beiden Hosts und Sie sollten beginnen, auditd zu empfangen Nachrichten.

Lösung 3:

Sie können sich mit audisp direkt bei Syslog anmelden, es ist Teil des Audit-Pakets. In Debian (ich habe es noch nicht in anderen Distributionen versucht) bearbeiten Sie in:

/etc/audisp/plugins.d/syslog.conf

und stellen Sie active=yes ein .


Linux

  1. SysLog-Server auf CentOS 6 / RHEL 6 einrichten

  2. Richten Sie einen zentralisierten Rsyslog-Server unter CentOS 7 ein

  3. So richten Sie einen zentralen Protokollierungsserver mit Rsyslog ein

  4. Rsyslog-Server auf Ubuntu 20.04 einrichten - Wie geht das?

  5. Linux – Senden von Texteingaben an einen abgetrennten Bildschirm?

So konfigurieren Sie den Rsyslog-Server in CentOS 8 / RHEL 8

So richten Sie den Rsyslog-Server unter Debian 11 (Bullseye) ein

So richten Sie den zentralen Protokollierungsserver mit Rsyslog unter Ubuntu 20.04 ein

So richten Sie den Rsyslog-Server unter Ubuntu ein

Überprüfen Sie die Protokolle des MSSQL Server-Agenten

Was ist der Unterschied zwischen syslog, rsyslog und syslog-ng?