Catatan singkat ini menjelaskan langkah-langkah untuk mengarahkan log audit ke server rsyslog jarak jauh di Server CentOS/RHEL 6,7.
Konfigurasi Sisi Server
Lakukan langkah-langkah ini untuk menyiapkan server syslog:
1. Batalkan komentar pada baris berikut di ‘MODULES ' bagian dari /etc/rsyslog.conf :
# vi /etc/rsyslog.conf $ModLoad imtcp $InputTCPServerRun 514
Jika Anda menggunakan UDP, batalkan komentar pada baris berikut:
# vi /etc/rsyslog.conf $ModLoad imudp $UDPServerRun 514
2. Konfigurasi server rsyslog untuk menerima event rsyslog dari klien. Untuk menerima log audit dari server klien, tambahkan baris di bawah ini di file /etc/rsyslog.conf:
# vi /etc/rsyslog.conf $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" local6.* ?HostAudit
3. Mulai ulang layanan rsyslog.
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7
Konfigurasi Sisi Klien
1. Ambil cadangan /etc/rsyslog.conf yang ada.
# cp /etc/rsyslog.conf /etc/rsyslog.conf.bkp
2. Tambahkan aturan berikut ke file /etc/rsyslog.conf untuk mengarahkan log ke server rsyslog pusat. “imfile ” harus dimuat di rsyslogd, jika tidak, konfigurasi untuk mengarahkan log auditd tidak akan berfungsi.
# vi /etc/rsyslog.conf #audit log $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor *.* @[serverip] ### Add rsyslog server IP here
Pastikan Anda mengganti @[serverip] dengan alamat IP server rsyslog Anda.
3. Mulai ulang layanan rsyslog agar perubahan diterapkan.
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7