Для передачи событий от сервера в коллектор KUMA используется сервис rsyslog.
Чтобы настроить передачу событий от сервера в коллектор:
systemctl status rsyslog.service
Если сервис rsyslog не установлен на сервере, установите его, выполнив следующую команду:
yum install rsyslog
systemctl enable rsyslog.service
systemctl start rsyslog.service
name_format=NONE
log_format=ENRICHED
Параметр log_format определяет формат записей, создаваемых сервисом auditd, и должен иметь значение ENRICHED, чтобы в событиях сохранялась информация о пользователях.
После изменения настроек перезапустите сервис auditd с помощью команды:
sudo systemctl restart auditd.service
папке /etc/rsyslog.d создайте файл audit.conf со следующим содержанием в зависимости от используемого протокола:$ModLoad imfile
$InputFileName /var/log/audit/audit.log
$InputFileTag tag_audit_log:
$InputFileStateFile audit_log
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor
*.* @@<IP-адрес коллектора KUMA>:<порт коллектора KUMA>
Например:
*.* @@192.1.3.4:5858
Для отправки событий по протоколу UDP:$ModLoad imfile
$InputFileName /var/log/audit/audit.log
$InputFileTag tag_audit_log:
$InputFileStateFile audit_log
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor
template(name="AuditFormat" type="string" string="<%PRI%>%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag% %msg%\n")
*.* @<IP-адрес коллектора KUMA>:<порт коллектора KUMA>
Например:
*.* @192.1.3.4:5858;AuditFormat
systemctl restart rsyslog.service
Сервер источника событий настроен. Данные о событиях передаются с сервера в коллектор KUMA.
В начало