Всем привет.
Свел логи auditd с различных серверов на один лог сервер с помощью audispd-plugins.
Теперь когда я на лог сервере запускаю выборку aureport --auth, мне выводятся прохождения аутентификации на всех серверах.
Я так понимаю потому что все события теперь пишутся в единый файл /var/log/audit/audit.log.
Можно ли как-то разбить логи с разных машин по разным файлам? Типо /var/log/audit/remote/srv1_audit.log? Когда сводил логи с помощью syslog-ng это было возможно, но тут в случае с auditd не совсем понятно.
