audit 로그 원격 syslog 전송 설정

/etc/rsyslog.conf 에 아래의 내용 추가

----------------------------------------------------------

# auditd audit.log

$ModLoad imfile

$InputFileName /var/log/audit/audit.log

$InputFileTag tag_audit_log:

$InputFileStateFile audit_log

$InputFileSeverity info

$InputFileFacility local6

$InputRunFileMonitor

local6.*                                                @<syslog 서버 IP>:514

----------------------------------------------------------

위의 설정만 하는 경우 message 로그에 audit 로그가 함께 저장됨

아래와 같이 설정

----------------------------------------------------------

*.info;mail.none;authpriv.none;cron.none;local6.none    /var/log/messages

*.info;mail.none;authpriv.none;cron.none                      @<syslog 서버 IP>:514

----------------------------------------------------------