私はNFS共有をやろうとしています。共有を設定しました。
それでは、nfs共有内のファイルに関連したログを見たいと思います。
集中ログサーバーを作成しました。集中rsyslogと集中監査ログの違いはわかりません。そこで私は両方を作りました。
次のリンクを使用して中央のrsyslogサーバーを作成しました。
そして私は次のリンクを使って中央監査ログサーバーを作成しました:
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
サーバーの監査ログを確認する必要があります。
サーバーとクライアントのログを組み合わせて必要です。
監査ログでファイルを監視するために、サーバーとクライアントの両方に同じキー「NFS」を作成しました。
しかし私がするとき ausearch -k NFS -i サーバーでは、サーバーに関連付けられたログのみが取得され、クライアントマシンのログは見つかりませんでした。
これどうやってするの?
私はLinuxの初心者です。私を助けてください。
ありがとうございました。 :)
編集1
以下はnfsのための私の設定のステップです:
NFSサーバー
sudo apt-get install nfs-kernel-server
sudo mkdir /var/nfs/general
sudo nano /etc/exports
/var/nfs/general *(rw,sync,no_root_squash,no_subtree_check)
sudo exportfs -a
sudo service nfs-kernel-server start
NFSクライアント
sudo apt-get install nfs-common
sudo mount 172.21.215.101:/var/nfs/general /mnt
編集2
監査ログの構成は以下のとおりです。
sudo apt-get auditd audispd-plugins
サーバー側:
sudo apt-get install firewalld
sudo service firewalld start
sudo firewall-cmd --zone=public --add-port=60/tcp --permanent
sudo nano /etc/audit/auditd.conf
tcp_listen_port = 60
sudo service auditd restart
クライアント側:
nano /etc/audisp/audisp-remote.conf
remote_server = 172.21.215.101
port = 60
nano /etc/audisp/plugins.d/au-remote.conf
active = yes
sudo service auditd restart
編集3
Rsyslogの設定
サーバー側:
cp /etc/rsyslog.conf /etc/rsyslog.conf.orig
nano /etc/rsyslog.conf
TCPとUDPのコメント解除
[...]
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
[...]
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
[...]
nano /etc/rsyslog.d/tmpl.conf
$template TmplAuth, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.* ?TmplAuth
*.info;mail.none;authpriv.none;cron.none ?TmplMsg
sudo ufw allow 514/tcp
sudo ufw allow 514/udp
sudo ufw reload
systemctl restart rsyslog
クライアント側:
cp /etc/rsyslog.conf /etc/rsyslog.conf.orig
nano /etc/rsyslog.conf
[...]
##RULES##
*.* @192.168.164.78:514
[...]
systemctl restart rsyslog