我想将审核文件复制到日志服务器,(CentOS 7(
当我输入/etc/rsyslog.conf时:
audit.* @logserver:514
我得到错误:
rsyslogd:未知设施名称"audit"[v8.24.0-41.el7_7.2]
当我试图复制审计日志时,就像我对apache日志所做的那样,我放入:
$ModLoad imfile
$InputFileName /var/log/audit/audit.log
$InputFileTag tag_audit_log:
$InputFileStateFile audit_log
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor
if $syslogtag == 'tag_audit_log' then @logserver:514
我得到错误:
rsyslogd:imfile:启动文件"/var/log/audit/audit.log"时没有存在,但在静态文件监视器中配置-这可能表明配置错误。如果该文件稍后出现,它将自动处理。原因:权限被拒绝[v8.24.0-41.el_7.2]
文件存在:
# ls -lZ /var/log/audit/audit.log
-rw-------. root root system_u:object_r:auditd_log_t:s0 /var/log/audit/audit.log
如何使其发挥作用
谢谢
我找到了解决方案,我遵循:
在/etc/syslog.conf中,我放入
*.info @remote.syslog.example.com
在/etc/audisp/plugins.d/syslog.conf中:
active = yes
systemctl重新启动rsyslog
服务审核重新启动