Cette courte note explique les étapes pour diriger les journaux d'audit vers le serveur rsyslog distant sur un serveur CentOS/RHEL 6,7.
Configuration côté serveur
Effectuez ces étapes pour configurer le serveur syslog :
1. Décommentez les lignes suivantes dans les 'MODULES ‘ de /etc/rsyslog.conf :
# vi /etc/rsyslog.conf $ModLoad imtcp $InputTCPServerRun 514
Si vous utilisez UDP, décommentez les lignes suivantes :
# vi /etc/rsyslog.conf $ModLoad imudp $UDPServerRun 514
2. Configurez le serveur rsyslog pour recevoir les événements rsyslog du client. Pour recevoir les journaux d'audit des serveurs clients, ajoutez les lignes ci-dessous dans le fichier /etc/rsyslog.conf :
# vi /etc/rsyslog.conf $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" local6.* ?HostAudit
3. Redémarrez le service rsyslog.
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7
Configuration côté client
1. Effectuez la sauvegarde du /etc/rsyslog.conf existant.
# cp /etc/rsyslog.conf /etc/rsyslog.conf.bkp
2. Ajoutez les règles suivantes au fichier /etc/rsyslog.conf pour diriger les journaux vers le serveur rsyslog central. "imfile " le module doit être chargé sur le rsyslogd, sinon la configuration pour diriger le journal auditd ne fonctionnera pas.
# vi /etc/rsyslog.conf #audit log $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor *.* @[serverip] ### Add rsyslog server IP here
Assurez-vous de remplacer @[serverip] par l'adresse IP de votre serveur rsyslog.
3. Redémarrez le service rsyslog pour que les modifications prennent effet.
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7