Я пытаюсь сделать акцию NFS. Я настроил общий ресурс.
Теперь я хочу просмотреть журналы, связанные с файлами в общей папке NFS.
Я создал централизованный сервер журналов. Я не знаю разницы между централизованным rsyslog и централизованным журналом аудита. Итак, я создал оба.
Я создал центральный сервер rsyslog, используя следующую ссылку:
И я создал центральный сервер журнала аудита, используя следующую ссылку:
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
Мне нужно просмотреть журналы аудита на сервере.
Мне нужны журналы сервера и клиента вместе.
Я создал один и тот же ключ NFS и на сервере, и на клиенте, чтобы файл отслеживался в журнале аудита.
Но когда я выполняю ausearch -k NFS -i на сервере, я получаю только журналы, связанные с сервером, и не могу найти журналы клиентского компьютера.
Как я могу это сделать?
Я новичок в Linux. Пожалуйста, помогите мне.
Спасибо. :)
Edit1
Ниже приведены шаги в моей конфигурации для nfs:
NFS сервер:
sudo apt-get install nfs-kernel-server
sudo mkdir /var/nfs/general
sudo nano /etc/exports
/var/nfs/general *(rw,sync,no_root_squash,no_subtree_check)
sudo exportfs -a
sudo service nfs-kernel-server start
NFS клиент:
sudo apt-get install nfs-common
sudo mount 172.21.215.101:/var/nfs/general /mnt
Edit2
Ниже приведены конфигурации журналов аудита.
sudo apt-get auditd audispd-plugins
На стороне сервера:
sudo apt-get install firewalld
sudo service firewalld start
sudo firewall-cmd --zone=public --add-port=60/tcp --permanent
sudo nano /etc/audit/auditd.conf
tcp_listen_port = 60
sudo service auditd restart
На стороне клиента:
nano /etc/audisp/audisp-remote.conf
remote_server = 172.21.215.101
port = 60
nano /etc/audisp/plugins.d/au-remote.conf
active = yes
sudo service auditd restart
Edit3
Конфигурация Rsyslog:
На стороне сервера:
cp /etc/rsyslog.conf /etc/rsyslog.conf.orig
nano /etc/rsyslog.conf
раскомментировал tcp и udp
[...]
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
[...]
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
[...]
nano /etc/rsyslog.d/tmpl.conf
$template TmplAuth, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.* ?TmplAuth
*.info;mail.none;authpriv.none;cron.none ?TmplMsg
sudo ufw allow 514/tcp
sudo ufw allow 514/udp
sudo ufw reload
systemctl restart rsyslog
На стороне клиента:
cp /etc/rsyslog.conf /etc/rsyslog.conf.orig
nano /etc/rsyslog.conf
[...]
##RULES##
*.* @192.168.164.78:514
[...]
systemctl restart rsyslog