2009-09-25 auditのログを集約する

_ auditのログを集約する(CentOS5)

auditのログをリモートサーバに飛ばしたい。その機能は、audispdが持っている。 
## クライアント側
yum install audispd-plugins 
vi /etc/audisp/audisp-remote.conf
# remote_serverを設定する。
vi /etc/audisp/plugins.d/au-remote.conf
# activeをyesに変更する
/etc/init.d/audit restart
ps awfx # 下記プロセスが確認できる。
(略)
 6970 ?        S<sl   0:00 auditd
 6972 ?        S<sl   0:00  \_ /sbin/audispd
 6973 ?        S<     0:00      \_ /sbin/audisp-remote
 
## サーバ側
vi /etc/auditd.conf
# tcp_listen_port をクライアント側のものに合わせる。初期値60
[]
This Diary is Running on tDiary.Net 1st server. Hosted by INTERLINK ホスティング
Generated by tDiary version 2.2.2
Powered by Ruby version 1.8.2