Могу ли я настроить Syslogd и audit так, чтобы на удалённый syslog сервер отправлялась полная информация, а не её хешированная версия?

Question

Алексей

linux , сети , системное-администрирование

Могу ли я настроить Syslogd и audit так, чтобы на удалённый syslog сервер отправлялась полная информация, а не её хешированная версия?

У меня возникла проблема с получением логов от службы аудита. Я наблюдаю, что логи, приходящие на /var/log/message, имеют читабельный вид и сразу дают понять, что произошло, например:  

`audispd: type=SYSCALL msg=audit key="HOSTNAME-CHANGE"`.  

Однако, когда я начинаю слушать логи через tftpd64, они становятся сильно хешированными и практически нечитабельными, как например:  

`audispd: type=SYSCALL msg=audit arch=40000028 syscall=74 per=800000 success=yes exit=0 a0=7edcbe6a a1=14 a2=10 a3=ff0000 items=0 ppid=1186 pid=32589 auid=4294967295 uid=0 gid=0 euid=0 suid=0`.  

Я читал, что логи от "аудита" должны приходить в сыром виде на удалённый сервер, и не уверен, насколько эта информация верна. Моя задача заключается в том, чтобы отслеживать изменения конфигурации и настроек, и я обращаю внимание, что локальные логи на машине имеют вполне понятный формат. 

Я пробовал менять различные форматы записи через audispd, но это дает результаты только на локальном устройстве. Я использую syslogd, а не rsyslog или syslog-ng, и не знаю, может ли это быть причиной проблемы. Я также использую OpenWRT. 

Не являясь экспертом, я учусь и разбираюсь в этом вопросе. Можете подсказать, в чем может быть проблема?

15 апреля 2025 г. 13:15

Ответы на вопрос 2

Похожие вопросы

Answer 1

Ваш вопрос касается настройки syslog для отправки логов аудита в читаемом формате на удалённый сервер. Давайте рассмотрим основные моменты, которые могут помочь решить вашу проблему.

### 1. Проверить настройки `auditd` и `audispd`
Убедитесь, что на вашей системе корректно настроены `auditd` и `audispd`, особенно параметры их конфигурации. Файлы конфигурации обычно находятся в `/etc/audit/auditd.conf` и `/etc/audisp/audisp.conf`.

### 2. Формат сообщений
Вы упомянули, что передачи идут в "хешированном" виде. Дело в том, что сообщения аудита могут содержать различную информацию, которая может передаваться в различном формате. Например, если `audispd` настроен на работу с плагинами, он может обрабатывать данные различными способами в зависимости от их конфигурации.

### 3. Проверка конфигураций syslog
Если вы используете `syslogd`, вы можете столкнуться с ограничениями форматирования логов. Рассмотрите возможность перехода на `rsyslog` или `syslog-ng`, которые имеют более богатый функционал для работы с логами и могут предлагать больше опций для настройки формата.

### 4. Примеры настройки
Если вы хотите, чтобы логи отправлялись в читаемом формате, вы можете изменить настройки в `/etc/audisp/audisp.conf`. Например, вам нужно будет убедиться, что в разделе `dispatcher` вы используете подходящий плагин и задаете нужный формат.

Примерный пример (`audisp-remote.conf`):
```plaintext
active = yes
direction = out
path = /var/run/audispd.events
type = SYSCALL
format = string
```

Добавьте соответствующие параметры, если они отсутствуют.

### 5. Отладка и тестирование
После внесения изменений рекомендуется протестировать вашу конфигурацию. Используйте следующие команды для контроля логов:
```bash
service auditd restart
service audispd restart
```

Проверьте `/var/log/messages` и на удалённом сервере, куда должны поступать логи, для диагностики возможных проблем.

### 6. Переход на rsyslog или syslog-ng
Если вы не получаете нужный формат с помощью `syslogd`, подумайте о миграции на `rsyslog` или `syslog-ng`, поскольку они предлагают более гибкие возможности для работы с логами, включая возможность настройки формата сообщений.

### Заключение
Проблема может заключаться в не совсем корректной конфигурации `auditd` и `audit` плагинов. Настройки syslog могут ограничивать форматирование. Рекомендуется исследовать переход на более современные системы логирования, если проблема не разрешится.

Answer 2

Так ведь syslog-ng может отправлять на удалённый сервер все строки, записываемые в audit.log. Разумеется они будут в чистом виде, как попадают в файл. А разница с обычным syslog - в появившемся втором формате конфигурации, более человеко-удобном, IMHO. 
 
 P.S. Тоже не эксперт.