linux audit日志通过syslog转发到远端

最新推荐文章于 2025-04-23 14:30:00 发布
最新推荐文章于 2025-04-23 14:30:00 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: linux 文章标签: linux centos 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_27979907/article/details/124684049
版权
本文详细介绍了如何在CentOS/RHEL系统中启用审计、配置rsyslog读取audit.log,然后将日志转发到远程服务器的过程,包括服务重启和配置文件编辑。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

流程:

开启audit → 配置rsyslog读audit.log文件 → 转发到远端

1.开启audit

重启audit

service auditd restart

确认audit.log产生日志

cat /var/log/audit/audit.log

2.配置rsyslog读audit.log文件

编辑 /etc/rsyslog.conf,添加以下内容

#audit log
$ModLoad imfile
$InputFileName /var/log/audit/audit.log
$InputFileTag tag_audit_log:
$InputFileStateFile audit_log
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor

3.转发到远端

编辑 /etc/rsyslog.conf,配置文件下方,添加以下内容

*.*                                      @远程服务serverip:端口

4.重启服务

# service rsyslog restart       ### CentOS/RHEL 6
# systemctl restart rsyslog     ### CentOS/RHEL 7
日志审计-syslog日志外发
有小小的远大抱负
11-23 1万+
不同的 Linux 版本,syslog 服务名可能为 syslog,也可能为 rsyslog;以下以 syslog为例说明。Linux 主机所有的日志文件一般都在/var/log 下,默认只是不记录 FTP 的 活 动 ,Linux系统的日志文件是可以配置的,Linux syslog设备依据两个重要的文件:/etc/syslogd守护进程和/etc/syslog.conf 配置文件。通过将需要处理的日志发送到 日志审计日志审计中心就可以采集到 Linux 主机的日志信息了。
Linux 审计日志记录,linux日志服务器审计客户端history记录
weixin_35403151的博客
05-03 1256
需求将每台服务器上的每一个用户执行的命令、执行时间、登陆时间、主机ip、当前切换用户等信息保存到本地并实时传输至日志服务器进行异地保存。nginxIPhostname角色10.10.99.1test1rsyslog-server10.10.99.2test2rsyslog-client工具及服务1.loggerlogger是一个shell接口,能够经过该接口使用rsyslog日志模块。webus...
Linux 之 rsyslog 系统日志转发
05-05 441
一、rsyslog 介绍   ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslogsyslog 的升级版,它将多种来源输入输出转换结果到目的地,据官网介绍,现在可以处理100万条信息。   特性:1.多线程      2.支持加密协议:ssl,tls,relp      3.mysql、oracle、postgreSQL    ...
Linux安全防护:全方位服务安全配置指南
最新发布
代码不止,探索不息
04-23 1130
在网络安全威胁日益严峻的今天,Linux服务就像需要重重保护的"数字城堡"🏰!本文将为你呈现Linux服务安全加固的完整方案,从系统底层到应用层,从网络防护到日志监控。无论你是运维工程师还是系统管理员,掌握这些安全加固技巧都能让你的Linux系统固若金汤!🔒 让我们一起构筑坚不可摧的系统防线吧~ 🚀
关于rsyslog转发auditd日志配置过程及问题排查
喜欢悠闲的博客
08-05 2447
于是再次查找了日志信息 中(audispd: No plugins found, exiting),询问gpt后,了解到audispd一个非常重要的组件,audispd是一个用于处理和转发audit事件的守护程序。在反复修改rsyslog.conf配置文件时,发现每次使用命令systemctl stop audit停止服务,服务端可以收到来自客户端的audit日志,但是用命令systemctl start audit开启服务后,则服务端停止接收audit日志。MODULES:定义消息来源的模块。
linux审计日志发送,linux – 将审计日志发送到SYSLOG服务器
weixin_33144635的博客
05-01 942
编辑:2014年11月17日这个答案可能仍然有效,但在2014年,using the Audisp plugin是更好的答案.如果您正在运行stock ksyslogd syslog服务器,我不知道如何执行此操作.但是有很好的指示可以在Wiki上使用rsyslog.(http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log)我将总结一...
Linux服务器的syslog配置(日志外发配置)
热门推荐
cnjsyzgl的博客
07-02 3万+
1、登录到服务器2、查看    #cat  /etc/syslog.conf3、修改     /etc/syslog.conf   在空行处添加  *.* @IP地址,代表所有类型的日志信息都转发到某个IP地址。4、保存退出,重启服务    #service syslog restart...
Linux系统中的日志管理 ---systemd-journald日志(journalctl命令的用法)和 rsyslog 日志(自定义日志采集路径、更改日志采集格式和日志的远程同步)
Horizon_carry的博客
05-08 1563
一、实验环境 Horizon_carry: 172.25.254.10 carry: 172.25.254.20 Horizon_carry & carry: systemctl stop firewalld.service ##关闭火墙 二、systemd-journald 1.systemd-journald 服务名称:systemd-jo...
SSH秘钥登录配置与系统日志管理
weixin_64655821的博客
08-22 2337
SSH秘钥登录配置与系统日志管理
计划日志和远程登录
m0_54563444的博客
07-01 724
at一次计划,cron循环计划,日志,ssh远程管理,PAM应用:限制远程登录尝试密码次数及锁定时间。scp远程上传下载文件,telnet远程登录,ntp服务器校时
Linux配置文件
LongL_GuYu的博客
05-11 2247
详细介绍Linux配置文件
syslog介绍(二):Linuxsyslog基本配置
AreYouOK?
12-05 657
2008-10-18   简介 不同的Linux发行版使用不同syslog程序来记录系统日志。 的Debain 4.0/Ubuntu8.04(桌面版)默认使用的是sysklogd,配置文件为/etc/syslog.conf。 Fedora9默认使用rsyslogd,配置文件为/etc/rsyslog.conf。 opensuse11使用syslog-ng,配置文件为/etc/syslo...
利用rsyslogLinux用户进行审计
weixin_33733810的博客
08-24 212
要审计用户执行的命令,在系统本地执行的话,比较简单。修改HISTTIMEFORMAT变量即可,比如:export HISTTIMEFORMAT="[%F %T $(who am i)] "但是简单的依赖.bash_history 或 script 是不可靠的,两者虽然记录了用户行为,但是可能被用户篡改和清除。rsyslog 是标准Linux系统的一部分,能够实时的写日志,并且还可以将日志选择性的发...
linux audit 日志发送,Flume采集rsyslog发送的audit日志
weixin_36436373的博客
05-02 430
推荐文章本文内容可查看目录本文内容包含单节点(单agent)和多节点(多agent,采集远程日志)说明一、环境linux系统:Centos7 Jdk:1.7Flume:1.7.0二、安装linux中jdk、mysql的安装不多赘述flume1.7的安装:进入官网:http://flume.ap推荐文章一、Flume的安装部署下载解压 tar -zxvf flume-ng-1.5.0-cdh5.3....
配置aix将audit日志发送syslog服务器
allway2的博客
06-03 3060
一、配置audit的config文件 以root用户编辑/etc/security/audit/config文件 vi /etc/security/audit/config start: binmode = off streammode = on 将audit日志改为stream模式 二、配置audit的streamcmds文件 以root用户编辑/etc/security/audit/strea...
linux推送日志日志服务器,linux – 将审计日志发送到SYSLOG服务器
weixin_32746931的博客
04-29 1219
编辑:2014年11月17日这个答案可能仍然有效,但在2014年,using the Audisp plugin是更好的答案.如果您正在运行stock ksyslogd syslog服务器,我不知道如何执行此操作.但是有很好的指示可以在Wiki上使用rsyslog.(http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log)我将总结一...
Linux 上配置一个 syslog 服务器
Free雅轩的博客
04-19 2619
在此对该模板进行简单解释,$template RemoteLogs(这里“RemoteLogs” 字符串可以为任何其他的描述性的名称)指令使rsyslog后台进程将日志消息写到/var/log下的单独的本地日志文件中,其中日志文件的名称是基于远程日志发送机器的主机名以及生成该日志的应用程序名进行定义的。如果我们想要将所有从远程客户端接受到的消息写入到一个以它们的IP地址命名的单个文件中,可以使用以下的模板。如果你想要的话,也可以使用下面的模式对特定的设备或严重性级别使用新的模板直接来记录日志消息。
利用rsysloglinux 操作进行审计
weixin_34206899的博客
12-31 252
环境:客户端和服务端都需要安装rsyslog服务 rsyslog server端 1 2 3 4 5 6 7 cd/etc/rsyslog.d/ catserver.conf $ModLoadimtcp $InputTCPServerRun514 vim/etc/rsyslog.conf local...
Linux内核配置详解:从Code Maturity到Audit Support
"内核配置参考 - Linux2.6内核的配置选项解析" Linux内核配置是一个关键的步骤,因为它决定了内核的功能特性和优化程度。本文将深入讲解几个重要的配置选项,包括代码成熟度选项、常规设置、内存管理以及系统监控等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值