Настраиваю Syslogd и ещё плюсом audit, можно ли вывести на удаленный syslog сервер развернутую информацию, а не хешированную?
Логи приходят на /var/log/message(все *_*), приходят от audit в +- читабельном виде и сразу понятно становиться что произошло, но как начинаю слушать через tftpd64 логи максимально хешированные(нечитабельные), читал где-то про сырые логи от "аудита" - якобы так и должно быть и логи на удалённый сервер должны прилетать в сыром виде. Но не знаю насколько проверенная информация.
Задача проста, просто надо было следить за изменениями конфигурации, настроек и.т.п. И вот проблема возникла с тем что вроде на "машину" где происходят изменения и соответственно хранятся локальные логи, информация крайне понятная и читаемая -
Пример:
audispd: type=SYSCALL msg=audit key="HOSTNAME-CHANGE"
Соответственно тут просто указан ключ который подсказывает нам о том что было изменение имени хоста, а теперь как это выглядит через tftpd
чутка с логами сократил, но надеюсь суть ясна.. Может проблема в самой программе tftpd64? - конечно можно было бы на нормальном сервере проверить, но..
Менял различные форматы(записи) через audispd , но результат только на локальном устройстве.
syslogd, не rsyslog и не syslog-ng - хотя не уверен что в этом может быть причина.. Но вдруг..
ОС:OpenWRT
Сразу скажу, я не эксперт. Учусь и постигаю неизведанное.
Чем больше знаю, тем лучше понимаю, как мало знаю.
Так ведь syslog-ng может отправлять на удалённый сервер все строки, записываемые в audit.log. Разумеется они будут в чистом виде, как попадают в файл. А разница с обычным syslog - в появившемся втором формате конфигурации, более человеко-удобном, IMHO.
Чем хорошо? Сразу приличный поиск, компрессия и ротация (по умолчанию 180 дней, если не ошибаюсь). Не нужно лазить по куче файлов, ну а поиск просто почти моментальный.
Средний
