更新时间:2024-08-05 GMT+08:00
分享

服务器/终端(Linux操作系统)

  1. root用户登录服务器/终端。
  2. 开启审计功能。
    systemctl start auditd
  3. 编辑配置文件/etc/rsyslog.conf
    vi /etc/rsyslog.conf
  4. 按“I”键,进入编辑模式,在配置文件/etc/rsyslog.conf的最后追加如下信息。 该配置将设备产生的错误日志、内核和后台进程日志(级别为notice)、认证日志(类型为auth,级别为info)、审计日志发送到天关。
    #### 采集audit日志 #### 
    $ModLoad imfile 
    $InputFileName /var/log/audit/audit.log 
    $InputFileTag tag_audit_log: 
    $InputFileStateFile audit_log 
    $InputFileSeverity info 
    $InputFileFacility local6 
    $InputRunFileMonitor 
    ###################### 
    *.err;kern.notice;daemon.notice;auth.info;local6.info @10.1.1.1         #此处需要修改
    • “@”前为一个Tab键,请勿遗漏。
    • 10.1.1.1为天关侧与资产通信的内网IP地址,根据实际修改。
  5. 按“Esc”键,退出编辑模式。
  6. 输入:wq!,保存并退出文件。
  7. 重启rsyslog服务。
    systemctl restart rsyslog

相关文档