Вопрос или проблема
Я на сервере Debian 11, и мои журналы аудита идут в /var/log/audit/audit.log, а также в /var/log/auth.log. Они заполняют мой auth.log, и на самом деле не должны туда попадать. Ниже приведены соответствующие части моих конфигураций:
/etc/rsyslog.conf
kern.debug /var/log/kern.log
daemon.* /var/log/daemon.log
*.info;cron,auth,authpriv.none /var/log/syslog
cron.* /var/log/cron.log
user.* /var/log/user.log
auth,authpriv.* /var/log/auth.log
/etc/audit/auditd.conf
log_file = /var/log/audit.log
Я немного в замешательстве, что делать. Как мне сделать так, чтобы мои журналы аудита отправлялись только в /var/log/audit/audit.log?
Журналы аудита содержат информацию, связанную с аутентификацией и авторизацией, и поэтому они отправляются в службу auth. Это означает, что, используя следующую строку в вашем /etc/rsyslog.conf
:
auth,authpriv.* /var/log/auth.log
.. они также попадают в /var/log/auth.log
.
Чтобы предотвратить это, вы можете перенаправить журналы аудита, добавив следующую строку в ваш /etc/rsyslog.conf
:
audit.* /var/log/audit/audit.log
Это перенаправит все логи службы аудита в /var/log/audit/audit.log
.
Обратите внимание, что /var/log/audit/audit.log
является файлом журнала по умолчанию для демона аудита. Однако, похоже, вы изменили свой /etc/audit/auditd.conf
, чтобы записывать в /var/log/audit.log
. Я не уверен, является ли это намеренным или опечаткой. В любом случае, вам, вероятно, нужно использовать два отдельных файла журналов.
Ответ или решение
Чтобы решить проблему с тем, что журналы аудита на вашем сервере Debian 11 записываются как в /var/log/audit/audit.log, так и в /var/log/auth.log, необходимо внести изменения в конфигурационные файлы системы. Давайте разберем это более подробно.
1. Анализ ситуации
Логи аутентификации и авторизации, которые создаются системой, обычно отправляются в журнал авторизации (auth.log). Это связано с тем, что такие события относятся к категории auth.authpriv. Если вы имеете настройки, как указано в вашем сообщении, это вызывает путаницу, поскольку логирование от демона аудита (auditd) также может перехватывать эти события, отправляя их в auth.log.
2. Конфигурационные файлы
rsyslog.conf
В вашем файле конфигурации /etc/rsyslog.conf
, строки, касающиеся логов аутентификации, выглядят следующим образом:
auth,authpriv.* /var/log/auth.log
Эта строчка указывает на то, что все сообщения уровня auth
и authpriv
должны записываться в auth.log
. Если аудиторские события обрабатываются как auth
-уровень, это объясняет, почему они попадают в auth.log
.
auditd.conf
В файле конфигурации демона аудита /etc/audit/auditd.conf
вы указали:
log_file = /var/log/audit.log
Это указывает, что журнал аудита сохраняется в audit.log
. Однако в системе настроены две разные конфигурации, и это приводит к дублированию или путанице.
3. Рекомендуемое решение
Чтобы решить вашу проблему и направить журналы аудита исключительно в /var/log/audit/audit.log
, вам необходимо добавить корректную строку в /etc/rsyslog.conf
.
Добавьте следующую строку в конец файла:
:programname, isequal, "auditd" stop
С помощью этой строки вы указываете rsyslog
, что все сообщения от программы auditd
не должны обрабатываться дальше, исключая их из auth.log
. Полный изменённый конфигурационный файл может выглядеть так:
kern.debug /var/log/kern.log
daemon.* /var/log/daemon.log
*.info;cron,auth,authpriv.none /var/log/syslog
cron.* /var/log/cron.log
user.* /var/log/user.log
auth,authpriv.* /var/log/auth.log
:programname, isequal, "auditd" stop
4. Перезагрузка служб
После внесения изменений в конфигурационный файл вам необходимо перезагрузить службы, чтобы новые настройки вступили в силу. Вы можете сделать это с помощью следующей команды:
sudo systemctl restart rsyslog
Также убедитесь, что демон аудита работает и настроен корректно:
sudo systemctl restart auditd
5. Проверка результата
После перезагрузки служб проверьте содержимое /var/log/audit/audit.log
и /var/log/auth.log
. Убедитесь, что события аудита записываются только в файл audit.log
, а в auth.log
должны оставаться только события, связанные с аутентификацией.
Заключение
Эти изменения помогут вам избежать путаницы и обеспечить корректное разделение логов. Если у вас возникнут дополнительные вопросы или потребуется помощь, не стесняйтесь обращаться к документации Debian или сообществу поддержки.