Questa breve nota spiega i passaggi per indirizzare i log di controllo al server rsyslog remoto su un server CentOS/RHEL 6,7.
Configurazione lato server
Eseguire questi passaggi per configurare il server syslog:
1. Decommenta le seguenti righe in "MODULI ' sezione di /etc/rsyslog.conf :
# vi /etc/rsyslog.conf $ModLoad imtcp $InputTCPServerRun 514
Se stai usando UDP, decommenta le seguenti righe:
# vi /etc/rsyslog.conf $ModLoad imudp $UDPServerRun 514
2. Configurare il server rsyslog per ricevere gli eventi rsyslog dal client. Per ricevere i log di controllo dai server client, aggiungi le righe seguenti nel file /etc/rsyslog.conf:
# vi /etc/rsyslog.conf $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" local6.* ?HostAudit
3. Riavvia il servizio rsyslog.
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7
Configurazione lato client
1. Eseguire il backup del file /etc/rsyslog.conf.
esistente# cp /etc/rsyslog.conf /etc/rsyslog.conf.bkp
2. Aggiungere le seguenti regole al file /etc/rsyslog.conf per indirizzare i log al server rsyslog centrale. "archivia ” deve essere caricato su rsyslogd, altrimenti la configurazione per l'indirizzamento dell'auditd log non funzionerà.
# vi /etc/rsyslog.conf #audit log $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor *.* @[serverip] ### Add rsyslog server IP here
Assicurati di sostituire @[serverip] con l'indirizzo IP del tuo server rsyslog.
3. Riavviare il servizio rsyslog per rendere effettive le modifiche.
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7