linux audit日志通过syslog转发到远端

流程:

开启audit → 配置rsyslog读audit.log文件 → 转发到远端

1.开启audit

重启audit

service auditd restart

确认audit.log产生日志

cat /var/log/audit/audit.log

2.配置rsyslog读audit.log文件

编辑 /etc/rsyslog.conf,添加以下内容

#audit log
$ModLoad imfile
$InputFileName /var/log/audit/audit.log
$InputFileTag tag_audit_log:
$InputFileStateFile audit_log
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor

3.转发到远端

编辑 /etc/rsyslog.conf,配置文件下方,添加以下内容

*.*                                      @远程服务serverip:端口

4.重启服务

# service rsyslog restart       ### CentOS/RHEL 6
# systemctl restart rsyslog     ### CentOS/RHEL 7

你可能感兴趣的:(linux,linux,centos,运维)