Rocky Linux 8
Sponsored Link

Auditd : リモートホストにログを転送する2021/07/22
 
リモートホストに Audit ログを転送して、特定ホストで複数ホストの Audit ログを一括管理できるようにします。
当例では以下のような環境で設定します。 
+----------------------+          |          +----------------------+
| [  Auditd Server   ] |10.0.0.30 | 10.0.0.51| [  Auditd Client   ] |
|     dlp.srv.world    +----------+----------+    node01.srv.world  |
|                      |                     |                      |
+----------------------+                     +----------------------+
[1] Audit ログを受信する側のホストの設定です。
[root@dlp ~]#
vi /etc/audit/auditd.conf
# 27行目 : コメント解除してリスンするポートを指定

tcp_listen_port =
60
[root@dlp ~]#
service auditd restart

# [systemctl restart] では依存関係で失敗する
[2] Audit ログを受信する側のホストで Firewalld を有効にしている場合はサービスの許可が必要です。
[root@dlp ~]#
firewall-cmd --add-service=audit

success
[root@dlp ~]#
firewall-cmd --runtime-to-permanent

success
[3] Audit ログを送信する側のホストで Audisp プラグインをインストールして設定します。
[root@node01 ~]#
dnf -y install audispd-plugins
[root@node01 ~]#
vi /etc/audit/plugins.d/au-remote.conf
# 6行目 : 変更

active =
yes
[root@node01 ~]#
vi /etc/audit/audisp-remote.conf
# 6行目 : ログ送信先ホスト

remote_server =
dlp.srv.world
# 7行目 : ログ送信先ポート (受信サーバー側でリスンしているポート)

port = 60
[root@node01 ~]#
vi /etc/audit/auditd.conf
# 9行目 : 変更 (ローカルにログを記録しない)

log_format =
NOLOG
[root@node01 ~]#
service auditd restart

[4] 以上で、設定したリモートホストのログが Audit ログ受信ホスト上に記録されていきます。
[root@dlp ~]#
grep node01 /var/log/audit/audit.log 

type=CRED_DISP msg=audit(1626925625.884:110): pid=1141 uid=0 auid=0 ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_unix acct="root" exe="/usr/bin/login" hostname=node01.srv.world addr=? terminal=ttyS0 res=success'
type=USER_END msg=audit(1626925625.889:111): pid=1141 uid=0 auid=0 ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:session_close grantors=pam_selinux,pam_loginuid,pam_console,pam_selinux,pam_namespace,pam_keyinit,pam_keyinit,pam_limits,pam_systemd,pam_unix,pam_umask,pam_lastlog acct="root" exe="/usr/bin/login" hostname=node01.srv.world addr=? terminal=ttyS0 res=success'
type=USER_AUTH msg=audit(1626925631.806:120): pid=25720 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="root" exe="/usr/bin/login" hostname=node01.srv.world addr=? terminal=ttyS0 res=success'
.....
.....
関連コンテンツ