Am configurat înregistrarea centralizată a mesajelor auditate pentru două mașini:
- mașina (www22.domain.com) este sursa (centos8)
- mașină (cls.domain.com) este serverul de jurnal centralizat (centos7)
Acest lucru s-a făcut în mod standard folosind pluginul auditd+audisp care trimite către serverul auditd care ascultă pe portul 60, de ex. asa cum este descris aici:
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
Dar atunci când observ jurnalul de audit pe serverul de jurnal centralizat după repornirea clientului auditd de la sursă, singurul lucru care apare sunt liniile
node=cls.domain.com tip=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=succes
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=succes
unde ::ffff:x.y.z.152 se datorează în mod evident unor pachete de la adresa IP x.y.x.152 (adresa www22.domain.com). Deci, conexiunea TCP între client-server se stabilește și se pare că ar trebui să funcționeze în continuare înregistrarea mesajelor.
Dar apoi singurele linii noi care apar vreodată în fișierul jurnal sunt cele care provin de pe cls.domain.com. Nu există niciodată mesaje de audit de la www22.domain.com.
Am verificat ce se întâmplă dacă auditd www22.domain.com este configurat să scrie și în fișierul jurnal de audit local; apoi fișierul local primește o mulțime de mesaje de la audit. Dar tot nu se trimite nimic prin rețea.
Cum să vă asigurați că clientul auditd trimite aceleași mesaje prin rețea?
