Как просмотреть журналы аудита на сервере NFS

612
Lublaut

Я пытаюсь сделать акцию NFS. Я настроил общий ресурс.

Теперь я хочу просмотреть журналы, связанные с файлами в общей папке NFS.

Я создал централизованный сервер журналов. Я не знаю разницы между централизованным rsyslog и централизованным журналом аудита. Итак, я создал оба.

Я создал центральный сервер rsyslog, используя следующую ссылку:

http://yallalabs.com/linux/how-to-setup-a-centralized-log-server-using-rsyslog-on-ubuntu-16-04-lts/#comment-2590

И я создал центральный сервер журнала аудита, используя следующую ссылку:

https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/

Мне нужно просмотреть журналы аудита на сервере.

Мне нужны журналы сервера и клиента вместе.

Я создал один и тот же ключ 'NFS' на сервере и на клиенте, чтобы файл отслеживался в журнале аудита.

Но когда я делаю это ausearch -k NFS -iна сервере, я получаю только журналы, связанные с сервером, и не могу найти журналы клиентского компьютера.

Как я могу это сделать?

Я новичок в Linux. Пожалуйста, помогите мне.

Спасибо. :)

Edit1

Ниже приведены шаги в моей конфигурации для nfs:

NFS сервер:

sudo apt-get install nfs-kernel-server  sudo mkdir /var/nfs/general  sudo nano /etc/exports  /var/nfs/general *(rw,sync,no_root_squash,no_subtree_check)  sudo exportfs -a  sudo service nfs-kernel-server start

NFS клиент:

sudo apt-get install nfs-common  sudo mount 172.21.215.101:/var/nfs/general /mnt

Edit2

Ниже приведены конфигурации журналов аудита.

sudo apt-get auditd audispd-plugins

На стороне сервера:

sudo apt-get install firewalld sudo service firewalld start sudo firewall-cmd --zone=public --add-port=60/tcp --permanent  sudo nano /etc/audit/auditd.conf tcp_listen_port = 60  sudo service auditd restart

На стороне клиента:

nano /etc/audisp/audisp-remote.conf remote_server = 172.21.215.101 port = 60  nano /etc/audisp/plugins.d/au-remote.conf active = yes  sudo service auditd restart

Edit3

Конфигурация Rsyslog:

На стороне сервера:

cp /etc/rsyslog.conf /etc/rsyslog.conf.orig  nano /etc/rsyslog.conf

раскомментировал tcp и udp

[...] # provides UDP syslog reception module(load="imudp") input(type="imudp" port="514") [...] # provides TCP syslog reception module(load="imtcp") input(type="imtcp" port="514") [...]  nano /etc/rsyslog.d/tmpl.conf $template TmplAuth, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log" $template TmplMsg, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"  authpriv.* ?TmplAuth *.info;mail.none;authpriv.none;cron.none ?TmplMsg  sudo ufw allow 514/tcp sudo ufw allow 514/udp  sudo ufw reload  systemctl restart rsyslog

На стороне клиента:

cp /etc/rsyslog.conf /etc/rsyslog.conf.orig  nano /etc/rsyslog.conf [...] ##RULES##  *.* @192.168.164.78:514 [...]  systemctl restart rsyslog
0

0 ответов на вопрос

Похожие вопросы