Chúng tôi đã thiết lập ghi nhật ký tập trung các tin nhắn auditd cho hai máy:
- máy (www22.domain.com) là nguồn (centos8)
- máy (cls.domain.com) là máy chủ nhật ký tập trung (centos7)
Điều này đã được thực hiện theo cách tiêu chuẩn bằng cách sử dụng plugin audisp + audisp gửi đến máy chủ audisp đang nghe trên cổng 60, ví dụ: như được mô tả ở đây:
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
Nhưng sau đó, khi tôi quan sát nhật ký kiểm tra trên máy chủ nhật ký tập trung sau khi khởi động lại máy khách kiểm toán trên nguồn, điều duy nhất xuất hiện là các dòng
node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success
trong đó ::ffff:x.y.z.152 rõ ràng là do một số gói từ địa chỉ IP x.y.x.152 (địa chỉ của www22.domain.com). Vì vậy, kết nối TCP giữa máy khách-máy chủ được thiết lập và có vẻ như việc ghi nhật ký thông báo tiếp theo sẽ hoạt động.
Nhưng sau đó, những dòng mới duy nhất từng xuất hiện trong tệp nhật ký là những dòng bắt nguồn từ cls.domain.com. Không bao giờ có thông báo kiểm tra từ www22.domain.com.
Tôi đã kiểm tra điều gì sẽ xảy ra nếu www22.domain.com kiểm toán được thiết lập để ghi vào tệp nhật ký kiểm tra cục bộ; sau đó tệp cục bộ nhận được nhiều thông báo từ kiểm toán. Nhưng vẫn không có gì được gửi qua mạng.
Làm cách nào để đảm bảo ứng dụng khách kiểm toán gửi cùng một thông báo qua mạng?
