我想将审核文件复制到日志服务器,(CentOS 7)
当我放入/etc/rsyslog.conf时:
audit.* @logserver:514
我收到错误:
rsyslogd:未知的设施名称“审核” [v8.24.0-41.el7_7.2]
[当我尝试复制审核日志时,就像处理apache日志一样,我输入:
$ModLoad imfile
$InputFileName /var/log/audit/audit.log
$InputFileTag tag_audit_log:
$InputFileStateFile audit_log
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor
if $syslogtag == 'tag_audit_log' then @logserver:514
我收到错误:
rsyslogd:imfile:在启动文件'/var/log/audit/audit.log'上不存在,但已在静态文件监视器中配置-这可能表明配置错误。如果文件稍后出现,它将自动处理。原因:权限被拒绝[v8.24.0-41.el7_7.2]
文件存在:
# ls -lZ /var/log/audit/audit.log
-rw-------. root root system_u:object_r:auditd_log_t:s0 /var/log/audit/audit.log
如何使其运作?谢谢
我找到了解决方案,我follow:
在我放的/etc/syslog.conf中
*.info @remote.syslog.example.com
在/etc/audisp/plugins.d/syslog.conf中:
active = yes
systemctl重新启动rsyslog服务审核重新启动