Solusi 1:
Metode yang paling aman dan benar adalah dengan menggunakan plugin audispd syslog dan/atau audisp-remote.
Agar berfungsi dengan cepat Anda dapat mengedit /etc/audisp/plugins.d/syslog.conf . RHEL menyertakan ini secara default, meskipun dinonaktifkan. Anda hanya perlu mengubah satu baris untuk mengaktifkannya, aktif =ya .
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
Tapi ini tidak terlalu aman secara default; syslog adalah protokol yang tidak aman pada dasarnya, tidak terenkripsi, tidak diautentikasi, dan dalam spesifikasi UDP aslinya, sama sekali tidak dapat diandalkan. Itu juga menyimpan banyak informasi dalam file yang tidak aman. Sistem Audit Linux menangani informasi yang lebih sensitif daripada yang biasanya dikirim ke syslog, oleh karena itu dipisahkan. audisp-remote juga menyediakan otentikasi dan enkripsi Kerberos, sehingga berfungsi dengan baik sebagai transportasi yang aman. Menggunakan audisp-remote, Anda akan mengirim pesan audit menggunakan audispd ke server audisp-remote yang berjalan di server syslog pusat Anda. Audisp-remote kemudian akan menggunakan plugin audispd syslog untuk memasukkannya ke dalam syslog dameon.
Tetapi ada metode lain! rsyslog sangat kuat! rsyslog juga menawarkan enkripsi Kerberos, plus TLS. Pastikan itu dikonfigurasi dengan aman.
Solusi 2:
Edit:17/11/14
Jawaban ini mungkin masih berfungsi, tetapi di tahun 2014, menggunakan plugin Audisp adalah jawaban yang lebih baik.
Jika Anda menjalankan server stock ksyslogd syslog, saya tidak tahu bagaimana melakukan ini. Tapi ada instruksi bagus untuk melakukannya dengan rsyslog di Wiki mereka. ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )
Saya akan meringkas:
-
Pada klien pengirim (
rsyslog.conf):#auditd audit.log $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitorPerhatikan bahwa
imfilemodul harus dimuat sebelumnya dalam konfigurasi rsyslog. Ini adalah baris yang bertanggung jawab untuk itu:$ModLoad imfile
Jadi periksa apakah itu ada di
rsyslog.confAnda mengajukan. Jika tidak ada, tambahkan di bawah### MODULES ###bagian untuk mengaktifkan modul ini; jika tidak, konfigurasi untuk auditd logging di atas tidak akan berfungsi. -
Di server penerima (
rsyslog.conf):$template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" local6.*
Mulai ulang layanan (service rsyslog restart ) pada kedua host dan Anda akan mulai menerima auditd pesan.
Solusi 3:
Anda dapat masuk langsung ke syslog menggunakan audisp, ini bagian dari paket Audit. Di Debian (saya belum mencoba di distro lain) edit di:
/etc/audisp/plugins.d/syslog.conf
dan atur active=yes .