share facebook facebook2 twitter menu hatena pocket slack

2013.02.12 TUE

CentOS(6)でaudit(d)のログをsyslogに出力

鈴木 宏康

WRITTEN BY鈴木 宏康

audit(d)のログは下記のように出力されます。

# cat /var/log/audit/audit.log
...
type=USER_LOGIN msg=audit(1356650120.217:43527): user pid=23041 uid=0 auid=4294967295 ses=4294967295 msg='op=login acct=28756E6B6E6F776E207573657229 exe="/usr/sbin/sshd" hostname=? addr=127.0.0.1 terminal=ssh res=failed'

このログをsyslogにも出力するようにするには次のように設定します。
(activeをnoからyesに変更)

# cat /etc/audisp/plugins.d/syslog.conf
...
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

(r)syslogを再起動すると上記の設定が反映されます。

# /etc/init.d/auditd restart
auditd を停止中: [ OK ]
auditd を起動中: [ OK ]

設定が反映すると、上述したログがsyslogとして下記のように出力されます。

# cat /var/log/messages
...
Dec 28 08:00:19 ip-10-0-0-87 audispd: node=ip-10-0-0-87 type=USER_LOGIN msg=audit(1356649219.815:43407): user pid=22805 uid=0 auid=4294967295 ses=4294967295 msg='op=login acct=28756E6B6E6F776E207573657229 exe="/usr/sbin/sshd" hostname=? addr=127.0.0.1 terminal=ssh res=failed'

後はFluentdでWeb Storage Archiveパターンの記事のようにFluentdでS3に送ってGlacierでアーカイブして、
各種ログ → rsyslog → fluentd → S3 → Glacierのパターンに持ち込めると楽になります。

こちらの記事はなかの人(suz-lab)監修のもと掲載しています。
元記事は、こちら

鈴木 宏康

鈴木 宏康

愛知県生まれ。東京工業大学大学院修士課程修了。在学時より、ベンチャー企業でインターネットに関する業務に携わり、現在はクラウド(主にAmazon Web Services)上での開発・運用を軸とした事業の、業務の中心として活躍。