Мы настроили централизованное логирование сообщений auditd для двух машин:
- машина (www22.domain.com) является источником (centos8)
- машина (cls.domain.com) является централизованным сервером журналов (centos7)
Это было сделано стандартным способом с использованием плагина auditd+audisp, отправляющего на сервер auditd, прослушивающий порт 60, например. как описано здесь:
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
Но затем, когда я наблюдаю за журналом аудита на централизованном сервере журналов после перезапуска клиента аудита в источнике, единственное, что появляется, это строки
node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:xyz.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:xyz.152 port=44282 res=success
где ::ffff:x.y.z.152, очевидно, из-за какого-то пакета(ов) с IP-адреса x.y.x.152 (адрес www22.domain.com). Таким образом, устанавливается TCP-соединение между клиентом и сервером, и, похоже, дальнейшая регистрация сообщений должна работать.
Но тогда единственные новые строки, которые когда-либо появляются в файле журнала, — это те, которые исходят от cls.domain.com. Никогда не приходят сообщения аудита от www22.domain.com.
Я проверил, что происходит, если для аудита www22.domain.com настроена также запись в локальный файл журнала аудита; затем локальный файл получает множество сообщений от аудита. Но по сети по-прежнему ничего не отправляется.
Как убедиться, что клиент auditd отправляет одни и те же сообщения по сети?
