审计日志
Server端
准备
关闭firewalld和selinux
systemctl stop firewalld && systemctl disable firewalld
setenforce 0 && sed -ir 's/^SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
auditd和 rsyslog开机自弃
systemctl enable auditd.service
systemctl enable rsyslog.service
查看rsyslog和logrotate是否安装
rpm -qa | grep rsyslog
rpm -qa | grep logrotate
查看当前rsyslog服务的状态:
systemctl status rsyslog
查看rsyslog进程
ps -ef | grep rsyslogd | grep -v grep
修改配置文件rsyslog.conf
cp /etc/rsyslog.conf{,.bka}
vim /etc/rsyslog.conf
#### RULES #### 下的 全部注释掉 +# 自定义到 一个文件里
*.* /home/filebeat/logs/test.log
local0.info /home/filebeat/logs/test.log
修改 /etc/sysconfig/rsyslog
vim /etc/sysconfig/rsyslog
添加
SYSLOGD_OPTIONS="-r -x -m 0"
SYSLOGD_OPTIONS 参数
在“SYSLOGD_OPTIONS”行上加“-r”选项以允许接受外来日志消息。
-s ip 表示只允许接收来自指定ip的日志消息,提高安全性。多个ip之间使用冒号分隔,例如:SYSLOGD_OPTIONS='-r -s 192.168.0.2:192.168.0.3'
-x 表示禁止中央日志服务器解析远程主机的FQDN(fully qualified domain name,完整域名)。默认情况下,当有其他机器向自己发送日志消息时,中央日志服务器将尝试解析该机器的FQDN。如果syslog守护进程无法解析出那个地址,它将继续尝试,这种毫无必要的额外负担将大幅降低日志记录工作的效率,应该禁止。
-m 0表示给日志添加-- MARK --标记,0表示关闭标记。举例,-m 240,表示每隔240分钟(每天6次)在日志文件里增加一行时间戳消息。日志文件里的“--MARK--”消息可以让你知道中央日志服务器上的syslog守护进程没有停工偷懒。
原文链接:https://blog.csdn.net/sunny_na/article/details/65444326
重启
systemctl restart rsyslog
service auditd restart
Client端
准备
关闭防火墙和selinux
systemctl stop firewalld && systemctl disable firewalld
setenforce 0 && sed -ir 's/^SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
开机自弃
systemctl enable auditd.service
systemctl enable rsyslog.service
检查文件和系统的更改状态
aureport --start today --event --summary -i
修改rsyslog.conf文件
vim /etc/rsyslog.conf
$ModLoad imfile
#### RULES #### 全部注释掉 +#
*.* @IP:514
添加
$InputFileName /var/log/audit/audit.log
$InputFileTag audit-errorlog:
$InputFileStateFile state-audit-audit.log
$InputRunFileMonitor
$InputFilePollInterval 10
*.* @IP:514
重启
service auditd restart
2020.06.18 Sun 于北京·海淀