Esta breve nota explica los pasos para dirigir los registros de auditoría al servidor rsyslog remoto en un servidor CentOS/RHEL 6,7.
Configuración del lado del servidor
Realice estos pasos para configurar el servidor syslog:
1. Descomenta las siguientes líneas en los 'MÓDULOS ‘ sección de /etc/rsyslog.conf :
# vi /etc/rsyslog.conf $ModLoad imtcp $InputTCPServerRun 514
Si está utilizando UDP, elimine los comentarios de las siguientes líneas:
# vi /etc/rsyslog.conf $ModLoad imudp $UDPServerRun 514
2. Configure el servidor rsyslog para recibir eventos rsyslog del cliente. Para recibir registros de auditoría de los servidores del cliente, agregue las siguientes líneas en el archivo /etc/rsyslog.conf:
# vi /etc/rsyslog.conf $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" local6.* ?HostAudit
3. Reinicie el servicio rsyslog.
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7
Configuración del lado del cliente
1. Realice la copia de seguridad del /etc/rsyslog.conf existente.
# cp /etc/rsyslog.conf /etc/rsyslog.conf.bkp
2. Agregue las siguientes reglas al archivo /etc/rsyslog.conf para dirigir los registros al servidor rsyslog central. “imfile El módulo debe cargarse en rsyslogd; de lo contrario, la configuración para dirigir el registro auditd no funcionará.
# vi /etc/rsyslog.conf #audit log $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor *.* @[serverip] ### Add rsyslog server IP here
Asegúrese de reemplazar @[serverip] con la dirección IP de su servidor rsyslog.
3. Reinicie el servicio rsyslog para que los cambios surtan efecto.
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7