Настройте Rsyslog для вывода журналов на удаленный хост.
Этот пример основан на приведенной ниже среде
+----------------------+ | +----------------------+ | [ Syslog Server ] |10.0.0.30 | 10.0.0.51| [ Syslog Client ] | | dlp.srv.world +----------+----------+ node01.srv.world | | | | | +----------------------+ +----------------------+
Настройте Log Managed Server для приема журналов с клиентских серверов.
# vi /etc/rsyslog.conf
Строки 19-20 раскомментируйте
$ModLoad imtcp $InputTCPServerRun 514
указать отправителей, разрешающих доступ
$AllowedSender TCP, 127.0.0.1, 10.0.0.0/24, *.srv.world
# systemctl restart rsyslog
Настройка клиентских серверов.
# vi /etc/rsyslog.conf
Например, журналы для «authpriv. *» для удаленного хоста
authpriv.* @@dlp.srv.world:514
строка 73: раскомментируйте все
$ ActionQueueFileName fwdRule1 # уникальный префикс имени для файлов спула
$ ActionQueueMaxDiskSpace 1g # 1gb ограничение пространства (используйте как можно больше)
$ ActionQueueSaveOnShutdown на # сохранение сообщений на диск при завершении работы
$ ActionQueueType LinkedList # запускается асинхронно
$ ActionResumeRetryCount -1 # бесконечные попытки, если хост отключен
$ ActionQueueMaxDiskSpace 1g # 1gb ограничение пространства (используйте как можно больше)
$ ActionQueueSaveOnShutdown на # сохранение сообщений на диск при завершении работы
$ ActionQueueType LinkedList # запускается асинхронно
$ ActionResumeRetryCount -1 # бесконечные попытки, если хост отключен
# systemctl restart rsyslog
После настройки журналы видов аутентификации записываются на Log Managed Server, как показано ниже.
# tail -10 /var/log/secure Jun 17 11:24:47 dlp sshd[9582]: Connection closed by 127.0.0.1 [preauth] Jun 17 11:27:46 node01 login: pam_unix(login:session): session closed for user root Jun 17 11:27:52 node01 login: pam_unix(login:auth): check pass; user unknown Jun 17 11:27:52 node01 login: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 Jun 17 11:27:54 node01 login: FAILED LOGIN 1 FROM ttyS0 FOR (unknown), User not known to the underlyin Jun 17 11:27:59 node01 login: pam_unix(login:session): session opened for user root by LOGIN(uid=0) Jun 17 11:27:59 node01 login: DIALUP AT ttyS0 BY root Jun 17 11:27:59 node01 login: ROOT LOGIN ON ttyS0 Jun 17 11:28:44 node01 su: pam_unix(su-l:session): session opened for user cent by root(uid=0) Jun 17 11:28:54 node01 sudo: cent : TTY=ttyS0 ; PWD=/home/cent ; USER=root ; COMMAND=/bin/cat /etc/sha
Если вы хотите разделить журналы для каждого хоста, для каждой даты настройте следующим образом.
# vi /etc/rsyslog.conf
Добавьте строки
$template Secure_log,"/var/log/secure.d/%fromhost%_%$year%%$month%%$day%.secure" authpriv.* -?Secure_log
# systemctl restart rsyslog # ll /var/log/secure.d total 8 -rw-r--r-- 1 root root 350 Jun 17 11:34 dlp_20150617.secure -rw-r--r-- 1 root root 380 Jun 17 11:34 node01.srv.world_20150617.secure
