更新时间:2024-08-05 GMT+08:00
服务器/终端(Linux操作系统)
- 以root用户登录服务器/终端。
- 开启审计功能。
systemctl start auditd
- 编辑配置文件/etc/rsyslog.conf。
vi /etc/rsyslog.conf
- 按“I”键,进入编辑模式,在配置文件/etc/rsyslog.conf的最后追加如下信息。 该配置将设备产生的错误日志、内核和后台进程日志(级别为notice)、认证日志(类型为auth,级别为info)、审计日志发送到天关。
#### 采集audit日志 #### $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor ###################### *.err;kern.notice;daemon.notice;auth.info;local6.info @10.1.1.1 #此处需要修改
- “@”前为一个Tab键,请勿遗漏。
- 10.1.1.1为天关侧与资产通信的内网IP地址,根据实际修改。
- 按“Esc”键,退出编辑模式。
- 输入:wq!,保存并退出文件。
- 重启rsyslog服务。
systemctl restart rsyslog
父主题: 配置资产