auditd日志需本地可靠存储与安全远程同步:一、本地落盘须调优auditd.conf,设max_log_file=100MB、num_logs=50、space_left=1024M、flush=data防丢;二、通过audispd插件将auditd日志转为syslog(facility=local6);三、rsyslog配置双写规则,本地存档+TLS加密发往远程6514端口,并启用磁盘队列防断连。
要让 auditd 日志既本地可靠存储、又安全同步到远程节点,关键不是“双路”这个词本身,而是明确两件事:本地日志必须按规范轮转不丢失,远程传输必须加密、可验证、带防丢机制。下面分三块说清楚。
默认配置在高负载或磁盘紧张时容易丢审计事件。必须调整核心参数:
/var/log/audit/ 所在分区有足够空间(建议 ≥20GB)auditd 不直接发网络包,需通过 audispd 插件转给 rsyslog。这步配置错,远程就收不到任何审计事件:
/etc/audisp/plugins.d/syslog.conf,确认以下三项已启用且正确:/etc/audit/auditd.conf 中设置:sudo systemctl restart auditd(会自动拉起 audispd)用一条规则同时满足“本地留一份”和“远程传一份”,不依赖脚本或定时同步:
/etc/rsyslog.d/30-audit-both.conf:# 将 local6(即 auditd 日志)同时写本地文件 + 加密发远程
local6.* /var/log/audit-syslog.log
local6.* @@(o)192.168.1.20:6514;RSYSLOG_SyslogProtocol23Format
$ActionQueueFileName audit_q
$ActionQueueMaxDiskSpace 500m
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
192.168.1.20)必须已部署 TLS 证书,并监听 6514 端口;客户端需提前安装并信任 CA 证书/var/log/audit-syslog.log 建议配合 logrotate 每日切割、压缩保留 30 天