nfsサーバー上の監査ログを表示する方法


0

私はNFS共有をやろうとしています。共有を設定しました。

それでは、nfs共有内のファイルに関連したログを見たいと思います。

集中ログサーバーを作成しました。集中rsyslogと集中監査ログの違いはわかりません。そこで私は両方を作りました。

次のリンクを使用して中央のrsyslogサーバーを作成しました。

http://yallalabs.com/linux/how-to-setup-a-centralized-log-server-using-rsyslog-on-ubuntu-16-04-lts/#comment-2590

そして私は次のリンクを使って中央監査ログサーバーを作成しました:

https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/

サーバーの監査ログを確認する必要があります。

サーバーとクライアントのログを組み合わせて必要です。

監査ログでファイルを監視するために、サーバーとクライアントの両方に同じキー「NFS」を作成しました。

しかし私がするとき ausearch -k NFS -i サーバーでは、サーバーに関連付けられたログのみが取得され、クライアントマシンのログは見つかりませんでした。

これどうやってするの?

私はLinuxの初心者です。私を助けてください。

ありがとうございました。 :)

編集1

以下はnfsのための私の設定のステップです:

NFSサーバー

sudo apt-get install nfs-kernel-server

sudo mkdir /var/nfs/general

sudo nano /etc/exports

  /var/nfs/general *(rw,sync,no_root_squash,no_subtree_check)

sudo exportfs -a

sudo service nfs-kernel-server start

NFSクライアント

sudo apt-get install nfs-common

sudo mount 172.21.215.101:/var/nfs/general /mnt

編集2

監査ログの構成は以下のとおりです。

sudo apt-get auditd audispd-plugins

サーバー側:

sudo apt-get install firewalld
sudo service firewalld start
sudo firewall-cmd --zone=public --add-port=60/tcp --permanent

sudo nano /etc/audit/auditd.conf
     tcp_listen_port = 60

sudo service auditd restart

クライアント側:

nano /etc/audisp/audisp-remote.conf
    remote_server = 172.21.215.101
    port = 60

nano /etc/audisp/plugins.d/au-remote.conf
    active = yes

sudo service auditd restart

編集3

Rsyslogの設定

サーバー側:

cp /etc/rsyslog.conf /etc/rsyslog.conf.orig

nano /etc/rsyslog.conf

TCPとUDPのコメント解除

[...]
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
[...]
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
[...]

nano /etc/rsyslog.d/tmpl.conf
    $template TmplAuth, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
    $template TmplMsg, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"

    authpriv.* ?TmplAuth
    *.info;mail.none;authpriv.none;cron.none ?TmplMsg

sudo ufw allow 514/tcp
sudo ufw allow 514/udp

sudo ufw reload

systemctl restart rsyslog

クライアント側:

cp /etc/rsyslog.conf /etc/rsyslog.conf.orig

nano /etc/rsyslog.conf
    [...]
    ##RULES## 
    *.* @192.168.164.78:514
    [...]

systemctl restart rsyslog
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.