Tato krátká poznámka vysvětluje kroky k nasměrování protokolů auditu na vzdálený server rsyslog na serveru CentOS/RHEL 6,7.
Konfigurace na straně serveru
Chcete-li nastavit server syslog, postupujte takto:
1. Odkomentujte následující řádky v „MODULE ‘ sekce /etc/rsyslog.conf :
# vi /etc/rsyslog.conf $ModLoad imtcp $InputTCPServerRun 514
Pokud používáte UDP, odkomentujte následující řádky:
# vi /etc/rsyslog.conf $ModLoad imudp $UDPServerRun 514
2. Nakonfigurujte server rsyslog pro příjem událostí rsyslog z klienta. Chcete-li přijímat protokoly auditu z klientských serverů, přidejte do souboru /etc/rsyslog.conf následující řádky:
# vi /etc/rsyslog.conf $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" local6.* ?HostAudit
3. Restartujte službu rsyslog.
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7
Konfigurace na straně klienta
1. Vytvořte zálohu stávajícího souboru /etc/rsyslog.conf.
# cp /etc/rsyslog.conf /etc/rsyslog.conf.bkp
2. Do souboru /etc/rsyslog.conf připojte následující pravidla pro přesměrování protokolů na centrální server rsyslog. „imfile ” modul musí být nahrán na rsyslogd, jinak nebude konfigurace pro směrování auditovaného protokolu fungovat.
# vi /etc/rsyslog.conf #audit log $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor *.* @[serverip] ### Add rsyslog server IP here
Ujistěte se, že jste nahradili @[serverip] IP adresou vašeho rsyslog serveru.
3. Restartujte službu rsyslog, aby se změny projevily.
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7