开启audit → 配置rsyslog读audit.log文件 → 转发到远端
1.开启audit重启audit
service auditd restart
确认audit.log产生日志
cat /var/log/audit/audit.log2.配置rsyslog读audit.log文件
编辑 /etc/rsyslog.conf,添加以下内容
#audit log $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor3.转发到远端
编辑 /etc/rsyslog.conf,配置文件下方,添加以下内容
*.* @远程服务serverip:端口4.重启服务
# service rsyslog restart ### CentOS/RHEL 6 # systemctl restart rsyslog ### CentOS/RHEL 7
