CentOS 8
Sponsored Link

Auditd : リモートホストにログを転送する2019/09/28

 
リモートホストに Audit ログを転送して、特定ホストで複数ホストの Audit ログを一括管理できるようにします。
当例では以下のような環境で設定します。
+----------------------+          |          +----------------------+
| [  Auditd Server   ] |10.0.0.30 | 10.0.0.51| [  Auditd Client   ] |
|     dlp.srv.world    +----------+----------+    node01.srv.world  |
|                      |                     |                      |
+----------------------+                     +----------------------+

[1] Audit ログを受信する側のホストの設定です。
[root@dlp ~]#
vi /etc/audit/auditd.conf
# 27行目:コメント解除してリスンするポートを指定

tcp_listen_port =
60
[root@dlp ~]#
service auditd restart

# [systemctl restart] では依存関係で失敗する

[2] Audit ログを受信する側のホストで Firewalld を有効にしている場合はサービスの許可が必要です。
[root@dlp ~]#
firewall-cmd --add-service=audit --permanent

success
[root@dlp ~]#
firewall-cmd --reload

success
[3] Audit ログを送信する側のホストで Audisp プラグインをインストールして設定します。
[root@node01 ~]#
dnf -y install audispd-plugins
[root@node01 ~]#
vi /etc/audit/plugins.d/au-remote.conf
# 6行目:変更

active =
yes
[root@node01 ~]#
vi /etc/audit/audisp-remote.conf
# 6行目:ログ送信先ホスト

remote_server =
dlp.srv.world
# 7行目:ログ送信先ポート(受信サーバー側でリスンしているポート)

port = 60
[root@node01 ~]#
vi /etc/audit/auditd.conf
# 9行目:変更(ローカルにログを記録しない)

log_format =
NOLOG
[root@node01 ~]#
service auditd restart

[4] 以上で、設定したリモートホストのログが Audit ログ受信ホスト上に記録されていきます。
[root@dlp ~]#
grep node01 /var/log/audit/audit.log

type=USER_START msg=audit(1569565170.307:59): pid=853 uid=0 auid=0 ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:session_open grantors=pam_selinux,pam_loginuid,pam_console,pam_selinux,pam_namespace,pam_keyinit,pam_keyinit,pam_limits,pam_systemd,pam_unix,pam_umask,pam_lastlog acct="root" exe="/usr/bin/login" hostname=node01.srv.world addr=? terminal=ttyS0 res=success'
type=CRED_REFR msg=audit(1569565170.307:60): pid=853 uid=0 auid=0 ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_unix acct="root" exe="/usr/bin/login" hostname=node01.srv.world addr=? terminal=ttyS0 res=success'
type=USER_LOGIN msg=audit(1569565170.307:61): pid=853 uid=0 auid=0 ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/bin/login" hostname=node01.srv.world addr=? terminal=ttyS0 res=success'
関連コンテンツ