[步骤] auditd 日志传送到远端的日志搜集服务器的设置 (rsyslog 版) (RHEL 版)

正文:

步骤一:将 auditd 日志转换为系统日志

1.1 安装 audispd-plugins 组件 (只在 RHEL 8 和 RHEL 8 之后版本的 RHEL 上操作)

# dnf install audispd-plugins

(注意:只在 RHEL 8 和 RHEL 8 之后版本的 RHEL 上进行此操作)

1.2 将 auditd 日志转换为系统日志

如果是 RHEL 7 和 RHEL 7 之前的版本 RHEL:

# vim /etc/audisp/plugins.d/syslog.conf

将部分内容修改如下:

......
active = yes
......
args = LOG_INFO LOG_LOCAL3
......

(补充:这里以将 auditd 日志转换成系统的 local3 日志为例)


如果是 RHEL 8 和 RHEL 8 之后版本的 RHEL:

# vim /etc/audit/plugins.d/syslog.conf

将部分内容修改如下:

......
active = yes
......
args = LOG_INFO LOG_LOCAL3
......

(补充:这里以将 auditd 日志转换成系统的 local3 日志为例)

步骤二:将系统日志中的 auditd 日志传送到远端的日志搜集服务器

# vi /etc/rsyslog.conf

添加以下内容:

......
local3.info        @remotesyslog.com
local3.info        stop

(补充:这里以将 local3 日志传送到远端的日志搜集服务器 remotesyslog.com 为例)

步骤三:让刚刚修改的 auditd 配置文件生效

如果是 RHEL 6 和 RHEL 6 之前的版本 RHEL:

# service rsyslog restart
# service auditd restart

如果是 RHEL 7 和 RHEL 7 之后版本的 RHEL:

# systemctl restart rsyslog
# service auditd restart

步骤四:检测 auditd 日志是否传送到了远端的日志搜集服务器

4.1 在本地生成 auditd 日志用于检测

# auditctl -m "This is a test auditd message from client"

(补充:这里以在 auditd 日志里写入 1 条内容是 “This is a test auditd message from client” 的日志为例)

4.2 查看本地的系统日志

# tail -f /var/log/messages
...... auditd[......]: ......

(补充:此时可以看到 /var/log/messages 系统日志里有和 auditd 相关的日志)

4.3 在远端的日志搜集服务器检测是否收到 auditd 日志

(步骤略)

参考文献:

https://access.redhat.com/solutions/28676

[CONTENT] The list of Linux Samba ports

ProtocalTCP PortsUDP PortsComment
DNS5353
Kerberos88, 46488, 464
LDAP389389
LDAPS636N/Aif used
RPC135135
NTPN/A123Time sync should be enabled and time accurate
Global Catalog3268, 3269N/AIf used by AD
SMB445, 139N/A
NetbiosN/A137, 138
RPC49152-65535N/ASome Active Directory services can use high ports RPC

[内容] SAMBA 远程共享目录永久挂载参数的案例

案例一:通过域账号挂载 SAMBA 远程共享目录

//10.0.0.1/share/data /mnt/data cifs sec=krb5,multiuser,username=mingyuzhu@ad.eternalcenter.com,dir_mode=0755,file_mode=0755,uid=1000,gid=1000 0 0

(补充:这里以通过域用户 mingyuzhu@ad.eternalcenter.com,目录权限为 0755,文件权限为 0755,本地 UID 为 1000 的用户可以访问,本地 GID 为 1000 的组可以访问,挂载 IP 地址 10.0.0.1 的 Samba 共享目录 /share/data 到本地的 /mnt/data 目录为例)

(注意:此时除了 root 用户、root 组、UID 为 1000 的用户或 GID 为 1000 的组的用户以外的用户查看本地的 /mnt/data 目录的权限时,显示的都是问号 “??????”)

案例二:通过 SAMBA 账号挂载 SAMBA 远程共享目录

//10.0.0.254/Linux /Linux cifs username=Linux,password=eternalcenter 0 0

(补充:这里以通过用户 Linux 密码为 password,挂载 IP 地址 10.0.0.254 的 Samba 共享目录 /Linux 到本地的 /Linux 目录为例)

案例三:通过 SAMBA 账号挂载 SAMBA 远程共享目录 (附带其他参数)

//10.0.0.1/share/data /mnt/data cifs defaults,rw,dir_mode=0755,file_mode=0755,username=zhumingyu,password=1 0 0

(补充:这里以通过用户 zhumingyu 密码为 1,目录权限为 0755,文件权限为 0755,挂载 IP 地址 10.0.0.1 的 Samba 共享目录 /share/data 到本地的 /mnt/data 目录为例)