Solución 1:
El método más seguro y correcto es usar el complemento audispd syslog y/o audisp-remote.
Para que funcione rápidamente puede editar /etc/audisp/plugins.d/syslog.conf . RHEL incluye esto de forma predeterminada, aunque está deshabilitado. Solo necesita cambiar una línea para habilitarlo, activo =yes .
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
Pero esto no es muy seguro por defecto; syslog es un protocolo inseguro en su base, sin cifrar, sin autenticar y en su especificación UDP original, completamente poco confiable. También almacena mucha información en archivos inseguros. El sistema de auditoría de Linux maneja información más confidencial de la que normalmente se envía a syslog, de ahí su separación. audisp-remote también proporciona autenticación y encriptación Kerberos, por lo que funciona bien como transporte seguro. Usando audisp-remote, enviaría mensajes de auditoría usando audispd a un servidor audisp-remote que se ejecuta en su servidor syslog central. El audisp-remote luego usaría el complemento audispd syslog para enviarlos al syslog dameon.
¡Pero hay otros métodos! ¡rsyslog es muy robusto! rsyslog también ofrece cifrado Kerberos, además de TLS. Solo asegúrate de que esté configurado de forma segura.
Solución 2:
Editar:17/11/14
Esta respuesta aún puede funcionar, pero en 2014, usar el complemento Audisp es la mejor respuesta.
Si está ejecutando el servidor syslog ksyslogd de stock, no sé cómo hacerlo. Pero hay excelentes instrucciones para hacerlo con rsyslog en su Wiki. (http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log)
Voy a resumir:
-
En el cliente emisor (
rsyslog.conf):#auditd audit.log $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitorTenga en cuenta que el
imfileEl módulo deberá haber sido cargado previamente en la configuración de rsyslog. Esta es la línea responsable de eso:$ModLoad imfile
Así que comprueba si está en tu
rsyslog.confexpediente. Si no está allí, agréguelo debajo de### MODULES ###sección para habilitar este módulo; de lo contrario, la configuración anterior para el registro auditado no funcionará. -
En el servidor receptor (
rsyslog.conf):$template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" local6.*
Reinicie el servicio (service rsyslog restart ) en ambos hosts y debería comenzar a recibir auditd mensajes.
Solución 3:
Puede iniciar sesión directamente en syslog usando audisp, es parte del paquete de auditoría. En Debian (aún no lo he probado en otras distribuciones) edite en:
/etc/audisp/plugins.d/syslog.conf
y establecer active=yes .