关于rsyslog转发auditd日志配置过程及问题排查

• 项目功能，要求收集linux系统日志，故使用了rsyslog转发audit系统日志
• 本环境测试搭建了两台虚拟机，使用centos7.9，一台为客户端，一台为服务端
• auditd为系统默认自带，rsyslog应当手动安装（安装步骤可以百度）
• 测试环境拓扑

 

1.rsyslog守护进程可以被分配为两种角色，既可以做客户端也可以做服务端，通过配置文件/etc/rsyslog.conf实现，该配置文件主要包含三个部分如下：

        MODULES：定义消息来源的模块

        GLOBAL DIRECTIVES：定义全局环境

        RULES：定义日志的等级规则

2.查看注释及帮助信息，具体配置项如下：

客户端配置（172.18.40.155）：

$template CustomAuditFormat,"/var/log/audit/audit.log"   # 转发的日志文件路径
$ActionFileDefaultTemplate CustomAuditFormat   # 设置使用上面定义的模板
#audit log
$ModLoad imfile
$InputFileName /var/log/audit/*
$InputFileTag tag_audit_log
$InputFileStateFile audit_state1
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor

 服务端配置（172.18.40.156）：

3.在以上客户端和服务端配置完成后，两台终端重启rsyslog服务，关闭防火墙 

systemctl restart rsyslog

systemctl stop firewalld.service

 4.使用logger命令测试，从客户端写信息，查看服务器是否有收到发来的日志信息

logger -it warning "hello sss"

logger -it error -p local5.info "hello aaaaa"

logger -it error -p local5.info "hello aaaaa"

172.18.40.155:

 5.进入/var/log下可以看见客户端发来的日志消息文件

$template IpTemplate,"/var/log/%FROMHOST-IP%.log"：定义客户端发来的日志文件位置及名称（这个是在/var/log目录下）
*.* ?IpTemplate：模板应用到所有接收到的日志上 

172.18.40.156

 6.排查问题

此时整个日志通道已经调试通过，但是audit日志却没能发送，只能发送手动打印的日志。在反复修改rsyslog.conf配置文件时，发现每次使用命令systemctl stop audit停止服务，服务端可以收到来自客户端的audit日志，但是用命令systemctl start audit开启服务后，则服务端停止接收audit日志。（这个过程花费了大量时间，服务端audit日志时有时无，完全没有想到开启和停止audit服务会影响日志发送，而且是服务开启停止发送audit，服务关闭才会发送audit日志）

7.顺着步骤6的结果，我查看了开启audit服务时，错误打印消息

客户端停止audit：

 此时服务端有audit日志

 客户端运行命令再次开启audit:systemctl start auditd.service

服务端打印的日志错误如下：

理所当然的看到了最后一行：Unregistered Authentication Agent for unix-process

8.通过网上查询原因未果，许多服务包括mysql都有类似报错，原因是为需要认证的进程，依然没有解决问题。

于是再次查找了日志信息 中（audispd:  No plugins found, exiting）,询问gpt后，了解到audispd一个非常重要的组件，audispd是一个用于处理和转发audit事件的守护程序。它负责接收来自auditd的事件，并根据配置的插件进行处理和转发。这些插件可以执行各种操作，如将事件写入本地日志文件、发送到远程syslog服务器或执行自定义脚本。

当audispd启动时，它会查找可用的插件，并加载这些插件以处理audit事件。如果没有找到任何插件，那么就会显示该错误消息并且audispd会退出。

9.顺着步骤8的结果，查找audispd插件是否加载及配置文件，查找到在/etc/audisp/plugins.d目录下找到配置文件

 将这两个文件的字段值active 为yes后，保存并再次重启auditd服务，服务端audit日志打印正常且不中断（active表示是否激活此插件）

 总结：

至此，成功解决问题，audit可外发日志到rsyslog，由于以前未了解过相关的知识，排查问题时花费了大量时间。不同配置文件的每一项及字段都有重要功能需要一一校对，写下此总结仅供学习使用。

关于本文章的帮助及信息转载：【Linux】rsyslog日志服务（配置，测试、日志转储）_滨河四季的博客-CSDN博客

如何将linux audit产生的审计信息传入到其他程序中(利用audispd)_audispd 命令_yldfree的博客-CSDN博客