将审核日志发送到SYSLOG服务器

我正在运行几个基于RHEL的系统，这些系统利用2.6内核中的审核功能来跟踪用户活动，并且需要将这些日志发送到集中式SYSLOG服务器以进行监视和事件关联。有人知道如何实现这一目标吗？

编辑：11/17/14

这个答案可能仍然有效，但是在2014年，使用Audisp插件是更好的答案。

如果您正在运行库存ksyslogd syslog服务器，我将不知道如何执行此操作。但是在其Wiki上有关于使用rsyslog进行操作的重要说明。（http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log）

我将总结：

• 在发送客户端（rsyslog.conf）上：

  # 已审核的audit.log  
  $ InputFileName /var/log/audit/audit.log  
  $ InputFileTag tag_audit_log：  
  $ InputFileStateFile audit_log  
  $ InputFileSeverity信息  
  $ InputFileFacility local6  
  $ InputRunFileMonitor
  

  请注意，该imfile模块将需要事先在rsyslog配置中加载。这是负责该行的行：

  $ ModLoad档案

  因此，检查它是否在您的rsyslog.conf文件中。如果不存在，请将其添加到该### MODULES ###部分下以启用此模块；否则，以上用于审核日志记录的配置将不起作用。

• 在接收服务器（rsyslog.conf）上：

  $ template HostAudit，“ / var / log / rsyslog /％HOSTNAME％/ audit_log”  
  本地6. *
  

service rsyslog restart在两个主机上重新启动服务（），您应该开始接收auditd消息。

最安全和正确的方法是使用audispd syslog插件和/或audisp-remote。

要使其快速生效，您可以编辑/etc/audisp/plugins.d/syslog.conf。尽管默认情况下RHEL禁用了该功能，但RHEL默认包含此功能。您只需更改一行即可启用它，active = yes。

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

但这默认情况下不是很安全。syslog从根本上来说是一个不安全的协议，未经加密，未经身份验证并且在其原始UDP规范中完全不可靠。它还在不安全的文件中存储了大量信息。Linux审核系统处理的敏感信息比通常发送到syslog的信息更多，因此是分开的。audisp-remote还提供Kerberos身份验证和加密，因此它可以作为安全传输很好地工作。使用audisp-remote，您将使用audispd将审核消息发送到在中央syslog服务器上运行的audisp-remote服务器。然后，audisp-remote将使用audispd syslog插件将其馈入syslog dameon。

但是还有其他方法！rsyslog非常强大！rsyslog还提供Kerberos加密以及TLS。只需确保已对其进行安全配置即可。

您可以使用audisp直接登录到syslog，它是Audit软件包的一部分。在Debian中（我尚未在其他发行版中尝试过），在以下位置进行编辑：

/etc/audisp/plugins.d/syslog.conf

并设置active=yes。