找到一些用于syslog-ng的SLES包。
在SLES 11中更容易,因为auditspd分派器存在。
大家好,
我有SLES 10与syslog-ng (syslog-ng-1.6.8-20.23.1)我无法得到正确的配置,所以文件/var/log/audit/audit.log被发送到远程syslog服务器。我使用tcpdump,我可以看到发送到远程服务器的数据包中的一些细节,但我没有看到tcp数据包中的审计格式。
filter f_audit { facility(13); };
filter f_audit2 {facility(security);};
destination d_local_facility {
file("/var/log/$FACILITY/$FACILITY.log");
destination d_remote_loghost { tcp("$hostname" port(514)); };
log {
source(s_local);
destination(d_remote_loghost5);
};
我做错了什么?
您必须在syslog-ng中配置一个读取/var/log/audit/audit.log文件的文件源,并将该源包含在日志语句中。我在你的配置文件中看不到。
顺便说一句,syslog-ng版本1.6太古老了。Syslog-ng 3.7可以解析审计日志以提取信息,因此您可能需要升级。您可以在https://syslog-ng.org/3rd-party-binaries/
在SLES 10中,我终于在引导时使用了一个脚本。文件后。Local相当于rc.local
因此,在/etc/init.d/after中。本地:
nohup/usr/bin/tail/var/log/audit/audit.log |/bin/logger -t auditpd -p local6.info &