Debian 11 – журналы аудита появляются в /var/log/auth

Вопрос или проблема

Я на сервере Debian 11, и мои журналы аудита идут в /var/log/audit/audit.log, а также в /var/log/auth.log. Они заполняют мой auth.log, и на самом деле не должны туда попадать. Ниже приведены соответствующие части моих конфигураций:

/etc/rsyslog.conf
kern.debug                       /var/log/kern.log
daemon.*                         /var/log/daemon.log
*.info;cron,auth,authpriv.none   /var/log/syslog
cron.*                           /var/log/cron.log
user.*                           /var/log/user.log
auth,authpriv.*                  /var/log/auth.log


/etc/audit/auditd.conf
log_file = /var/log/audit.log

Я немного в замешательстве, что делать. Как мне сделать так, чтобы мои журналы аудита отправлялись только в /var/log/audit/audit.log?

Журналы аудита содержат информацию, связанную с аутентификацией и авторизацией, и поэтому они отправляются в службу auth. Это означает, что, используя следующую строку в вашем /etc/rsyslog.conf:

auth,authpriv.*                  /var/log/auth.log

.. они также попадают в /var/log/auth.log.

Чтобы предотвратить это, вы можете перенаправить журналы аудита, добавив следующую строку в ваш /etc/rsyslog.conf:

audit.*                          /var/log/audit/audit.log

Это перенаправит все логи службы аудита в /var/log/audit/audit.log.


Обратите внимание, что /var/log/audit/audit.log является файлом журнала по умолчанию для демона аудита. Однако, похоже, вы изменили свой /etc/audit/auditd.conf, чтобы записывать в /var/log/audit.log. Я не уверен, является ли это намеренным или опечаткой. В любом случае, вам, вероятно, нужно использовать два отдельных файла журналов.

Ответ или решение

Чтобы решить проблему с тем, что журналы аудита на вашем сервере Debian 11 записываются как в /var/log/audit/audit.log, так и в /var/log/auth.log, необходимо внести изменения в конфигурационные файлы системы. Давайте разберем это более подробно.

1. Анализ ситуации

Логи аутентификации и авторизации, которые создаются системой, обычно отправляются в журнал авторизации (auth.log). Это связано с тем, что такие события относятся к категории auth.authpriv. Если вы имеете настройки, как указано в вашем сообщении, это вызывает путаницу, поскольку логирование от демона аудита (auditd) также может перехватывать эти события, отправляя их в auth.log.

2. Конфигурационные файлы

rsyslog.conf

В вашем файле конфигурации /etc/rsyslog.conf, строки, касающиеся логов аутентификации, выглядят следующим образом:

auth,authpriv.*                  /var/log/auth.log

Эта строчка указывает на то, что все сообщения уровня auth и authpriv должны записываться в auth.log. Если аудиторские события обрабатываются как auth-уровень, это объясняет, почему они попадают в auth.log.

auditd.conf

В файле конфигурации демона аудита /etc/audit/auditd.conf вы указали:

log_file = /var/log/audit.log

Это указывает, что журнал аудита сохраняется в audit.log. Однако в системе настроены две разные конфигурации, и это приводит к дублированию или путанице.

3. Рекомендуемое решение

Чтобы решить вашу проблему и направить журналы аудита исключительно в /var/log/audit/audit.log, вам необходимо добавить корректную строку в /etc/rsyslog.conf.

Добавьте следующую строку в конец файла:

:programname, isequal, "auditd" stop

С помощью этой строки вы указываете rsyslog, что все сообщения от программы auditd не должны обрабатываться дальше, исключая их из auth.log. Полный изменённый конфигурационный файл может выглядеть так:

kern.debug                       /var/log/kern.log
daemon.*                         /var/log/daemon.log
*.info;cron,auth,authpriv.none   /var/log/syslog
cron.*                           /var/log/cron.log
user.*                           /var/log/user.log
auth,authpriv.*                  /var/log/auth.log
:programname, isequal, "auditd" stop

4. Перезагрузка служб

После внесения изменений в конфигурационный файл вам необходимо перезагрузить службы, чтобы новые настройки вступили в силу. Вы можете сделать это с помощью следующей команды:

sudo systemctl restart rsyslog

Также убедитесь, что демон аудита работает и настроен корректно:

sudo systemctl restart auditd

5. Проверка результата

После перезагрузки служб проверьте содержимое /var/log/audit/audit.log и /var/log/auth.log. Убедитесь, что события аудита записываются только в файл audit.log, а в auth.log должны оставаться только события, связанные с аутентификацией.

Заключение

Эти изменения помогут вам избежать путаницы и обеспечить корректное разделение логов. Если у вас возникнут дополнительные вопросы или потребуется помощь, не стесняйтесь обращаться к документации Debian или сообществу поддержки.

Оцените материал
Добавить комментарий

Капча загружается...