Настраивал кто сбор событий аудита на лог сервер через syslog-ng? Я тестовую связку сделал и не могу понять почему не получается выборку сделать на лог сервере из собранных логов
Конфиг сервера
source s_linux_auditd { tcp(ip(0.0.0.0) port(514)); };
destination d_linux_auditd { file("/var/log/audit/remote/$HOST/${YEAR}_${MONTH}_${DAY}_audit.log" create_dirs(yes)); };
log { source(s_linux_auditd); destination(d_linux_auditd); flags(final); };
Конфиг клиента
source s_auditd { file("/var/log/audit/audit.log"); };
destination d_auditd { network("192.168.10.51" port(514) transport(tcp)); };
log { source(s_auditd); destination(d_auditd); };
Судя по содержимому файла на лог сервере события сыпятся в него, но когда я на сервере делаю так:
aureport --auth --input /var/log/audit/remote/192.168.10.53/2024_06_15_audit.log
Вывод мне выдает пустую выборку:
Authentication Report
============================================
# date time acct host term exe success event
============================================
<no events of interest were found>
хотя события в файле нужные есть. Проверял через less. Что я делаю не так?
