Настройка сервера источника событий

Для передачи событий от сервера в коллектор KUMA используется сервис rsyslog.

Чтобы настроить передачу событий от сервера в коллектор:

Проверьте, что на сервере источнике событий установлен сервис rsyslog. Для этого выполните следующую команду:
systemctl status rsyslog.service

Если сервис rsyslog не установлен на сервере, установите его, выполнив следующую команду:

yum install rsyslog

systemctl enable rsyslog.service

systemctl start rsyslog.service
Отредактируйте файл настроек сервиса audit.service /etc/audit/auditd.conf и измените значение параметра name_format, присвоив этому параметру значение NONE:
name_format=NONE

После изменения настроек перезапустите сервис auditd с помощью команды:

sudo systemctl restart auditd.service
В папке /etc/rsyslog.d создайте файл audit.conf со следующим содержанием в зависимости от используемого протокола:
- Для отправки событий по протоколу TCP:
  $ModLoad imfile
  
  $InputFileName /var/log/audit/audit.log
  
  $InputFileTag tag_audit_log:
  
  $InputFileStateFile audit_log
  
  $InputFileSeverity info
  
  $InputFileFacility local6
  
  $InputRunFileMonitor
  
  *.* @@<ip адрес коллектора KUMA>:<порт коллектора KUMA>
  
  Например:
  
  *.* @@192.1.3.4:5858
- Для отправки событий по протоколу UDP:
  $ModLoad imfile
  
  $InputFileName /var/log/audit/audit.log
  
  $InputFileTag tag_audit_log:
  
  $InputFileStateFile audit_log
  
  $InputFileSeverity info
  
  $InputFileFacility local6
  
  $InputRunFileMonitor
  
  template(name="AuditFormat" type="string" string="<%PRI%>%TIMESTAMP:::date=rfc3339% %HOSTNAME% %syslogtag% %msg%\n")
  
  *.* @<ip адрес коллектора KUMA>:<порт коллектора KUMA>
  
  Например:
  
  *.* @192.1.3.4:5858;AuditFormat
Сохраните изменения в файле audit.conf.
Перезапустите сервис rsyslog, выполнив следующую команду:
systemctl restart rsyslog.service

Сервер источника событий настроен. Данные о событиях передаются с сервера в коллектор KUMA.

В начало