Auditd : リモートホストにログを転送する2022/03/11 |
|
リモートホストに Audit ログを転送して、特定ホストで複数ホストの Audit ログを一括管理できるようにします。
当例では以下のような環境で設定します。 +----------------------+ | +----------------------+ | [ Auditd Server ] |10.0.0.30 | 10.0.0.51| [ Auditd Client ] | | dlp.srv.world +----------+----------+ node01.srv.world | | | | | +----------------------+ +----------------------+ |
|
| [1] | Audit ログを受信する側のホストの設定です。 |
|
[root@dlp ~]#
vi /etc/audit/auditd.conf # 27行目 : コメント解除してリスンするポートを指定 tcp_listen_port = 60
service auditd restart # [systemctl restart] では依存関係で失敗する |
| [2] | Audit ログを受信する側のホストで Firewalld を有効にしている場合はサービスの許可が必要です。 |
|
[root@dlp ~]# firewall-cmd --add-service=audit success [root@dlp ~]# firewall-cmd --runtime-to-permanent success |
| [3] | Audit ログを送信する側のホストで Audisp プラグインをインストールして設定します。 |
|
[root@node01 ~]#
dnf -y install audispd-plugins
[root@node01 ~]#
vi /etc/audit/plugins.d/au-remote.conf # 6行目 : 変更 active = yes
[root@node01 ~]#
vi /etc/audit/audisp-remote.conf # 6行目 : ログ送信先ホスト remote_server = dlp.srv.world
# 7行目 : ログ送信先ポート # ⇒ 受信サーバー側でリスンしているポート port = 60
[root@node01 ~]#
vi /etc/audit/auditd.conf # 9行目 : 変更 # ⇒ ローカルホストにはログを記録しない log_format = NOLOG
service auditd restart |
| [4] | 以上で、設定したリモートホストのログが Audit ログ受信ホスト上に記録されていきます。 |
|
[root@dlp ~]# grep node01 /var/log/audit/audit.log type=SOFTWARE_UPDATE msg=audit(1646975987.725:149): pid=1561 uid=0 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=install sw="apr-1.7.0-11.el9.x86_64" sw_type=rpm key_enforce=0 gpg_res=1 root_dir="/" comm="dnf" exe="/usr/bin/python3.9" hostname=node01.srv.world addr=? terminal=ttyS0 res=success' type=SOFTWARE_UPDATE msg=audit(1646975987.725:150): pid=1561 uid=0 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=install sw="apr-util-bdb-1.6.1-20.el9.x86_64" sw_type=rpm key_enforce=0 gpg_res=1 root_dir="/" comm="dnf" exe="/usr/bin/python3.9" hostname=node01.srv.world addr=? terminal=ttyS0 res=success' type=SOFTWARE_UPDATE msg=audit(1646975987.725:151): pid=1561 uid=0 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=install sw="apr-util-openssl-1.6.1-20.el9.x86_64" sw_type=rpm key_enforce=0 gpg_res=1 root_dir="/" comm="dnf" exe="/usr/bin/python3.9" hostname=node01.srv.world addr=? terminal=ttyS0 res=success' ..... ..... |
| Sponsored Link |