Передача событий с auditd в syslog

0

1

Коллеги, добрых суток.

Задался таким вопросом. А как перенаправить/передать (чтобы не чего по пути не потерялось и не по резалось) события генерируемые демоном - auditd на другой сервер по syslog ? Можно пример конфига. Сорри если такая тема уже поднималась, но чет я ее не нашел на Linuxorg.

Хочу еще такой вопрос поднять - Есть ли разница с точки зрения аудита между AUDITD и SYSLOG ? Какова глубизна и емкость аудита если его настраивать разными сервисами - auditd или syslog ? Ктонить занимался таким сравнением.

Ссылка

←	Проблема с WI-FI модулем \| Пропиритарный Broadcom (BCM43142)

Не выключается: Reached target Shutdown

→

чтобы не чего по пути не потерялось и не по резалось

по умолчанию принято считать что логи передаются по udp, потому google://auditd syslog tcp
первая же ссылка http://linux-audit.com/central-audit-logging-configuration-collecting-linux-a...

system-root ★★★★★
(28.03.16 08:02:57 MSK)

Ссылка

Предыдущий пост хорошо всё описывает. Хотел бы добавить только, что при работе с autit логами важно не потерять ни одной записи, поэтому рекомендую использовать RELP. Этот протокол реализован в rsyslog. Нужно только использовать модули imrelp и omrelp. RELP можно отправить поверх TLS, если логи отправляете по открытым каналам.

http://www.rsyslog.com/doc/v8-stable/configuration/modules/omrelp.html

http://www.rsyslog.com/doc/v8-stable/configuration/modules/imrelp.html

zuzzas ★
(29.03.16 09:17:23 MSK)