Auditd : リモートホストにログを転送する2025/10/23 |
|
リモートホストに Audit ログを転送して、特定ホストで複数ホストの Audit ログを一括管理できるようにします。 +----------------------+ | +----------------------+ | [ Auditd Server ] |10.0.0.30 | 10.0.0.51| [ Auditd Client ] | | dlp.srv.world +----------+----------+ node01.srv.world | | | | | +----------------------+ +----------------------+ |
|
| [1] | Audit ログを受信する側のホストの設定です。 |
|
dlp:~ #
vi /etc/audit/auditd.conf # 27行目 : コメント解除してリスンするポートを指定 tcp_listen_port = 60
systemctl restart auditd
|
| [2] | Audit ログを受信する側のホストで Firewalld を有効にしている場合はサービスの許可が必要です。 |
|
dlp:~ # firewall-cmd --add-service=audit success dlp:~ # firewall-cmd --runtime-to-permanent success |
| [3] | Audit ログを送信する側のホストで Audisp プラグインをインストールして設定します。 |
|
node01:~ #
zypper -n install audit-audispd-plugins
node01:~ #
vi /etc/audit/plugins.d/au-remote.conf # 6行目 : 変更 active = yes
node01:~ #
vi /etc/audit/audisp-remote.conf # 6行目 : ログ送信先ホスト remote_server = dlp.srv.world
# 7行目 : ログ送信先ポート # ⇒ 受信サーバー側でリスンしているポート port = 60
node01:~ #
vi /etc/audit/auditd.conf # 9行目 : 変更 # ⇒ ローカルホストにはログを記録しない log_format = NOLOG
systemctl restart auditd
|
| [4] | 以上で、設定したリモートホストのログが Audit ログ受信ホスト上に記録されていきます。 |
|
dlp:~ # grep node01 /var/log/audit/audit.log type=CRED_DISP msg=audit(1761179506.812:114): pid=970 uid=0 auid=0 ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_unix acct="root" exe="/usr/bin/login" hostname=node01.srv.world addr=? terminal=/dev/ttyS0 res=success' type=USER_END msg=audit(1761179506.843:123): pid=970 uid=0 auid=0 ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:session_close grantors=pam_loginuid,pam_keyinit,pam_selinux,pam_limits,pam_systemd,pam_unix,pam_umask,pam_selinux,pam_env,pam_wtmpdb,pam_mail acct="root" exe="/usr/bin/login" hostname=node01.srv.world addr=? terminal=/dev/ttyS0 res=success' type=USER_AUTH msg=audit(1761179521.353:53): pid=983 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="root" exe="/usr/bin/login" hostname=node01.srv.world addr=? terminal=/dev/ttyS0 res=success' type=USER_ACCT msg=audit(1761179521.357:54): pid=983 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:accounting grantors=pam_unix acct="root" exe="/usr/bin/login" hostname=node01.srv.world addr=? terminal=/dev/ttyS0 res=success' type=CRED_ACQ msg=audit(1761179521.358:55): pid=983 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_unix acct="root" exe="/usr/bin/login" hostname=node01.srv.world addr=? terminal=/dev/ttyS0 res=success' ..... ..... |
| Sponsored Link |
|
|