如何发送audit.log到远程服务器的syslog-ng的

Question

好日子，

我有syslog-ng的（syslog-ng的-1.6.8-20.23.1） SLES 10，我不能让正确的配置，以便将文件/var/log/audit/audit.log发送到远程系统日志服务器。

我用tcpdump，我可以看到发送到远程服务器的数据包中的一些细节，但我没有看到tcp数据包中审计格式的任何内容。

filter f_audit { facility(13); }; 
filter f_audit2 {facility(security);}; 

destination d_local_facility { 
    file("/var/log/$FACILITY/$FACILITY.log"); 


destination d_remote_loghost { tcp("$hostname" port(514)); }; 

log { 
    source(s_local); 
    destination(d_remote_loghost5); 

}; 

我在做什么错？

Answer 1

您必须configure a file source in syslog-ng读取/var/log/audit/audit.log文件，并将此源包含在日志语句中。我看不到你的配置文件。

顺便说一句，syslog-ng版本1.6是古老而无法言喻的。 syslog-ng 3.7可以parse auditd logs to extract information，所以你可能想要升级。你可以在https://syslog-ng.org/3rd-party-binaries/

Answer 2

找到一些用于syslog-ng的SLES软件包在SLES 10中，我最终在启动时使用了一个脚本。该文件after.local是rc.local中

所以，在/etc/init.d/after.local相当于：

nohup的在/ usr/bin中/ tailf的/ var /日志/审计/审计。日志|/bin/logger -t audispd -p local6.info &

由于auditspd调度程序的存在，在SLES 11中更容易。